ทำความรู้จัก APT38 กลุ่มแฮกเกอร์ผู้โจมตี SWIFT จากเกาหลีเหนือ

บทนำ
ถ้าพูดถึงกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อแรกที่ทุกคนนึกถึงคงจะเป็นกลุ่ม Lazarus Group หรือที่เป็นที่รู้จักในชื่อ HIDDEN COBRA และ Guardians of Peace ที่เพิ่งมีประกาศแจ้งเตือนจาก US-CERT ให้ระวังแคมเปญการโจมตีไปเมื่อไม่นานมานี้ รวมทั้งเชื่อว่าเป็นต้นเหตุของการปล่อย WannaCry ransomware ในปี 2017 การโจมตีธนาคารต่างๆ และการโจมตีบริษัท Sony Pictures ในปี 2014 แต่เมื่อวันที่ 3 ตุลาคม 2018 ที่ผ่านมา FireEye ได้ออกรายงานชิ้นใหม่เปิดเผยข้อมูลว่าแท้จริงแล้วผลงานของกลุ่มก่อการร้ายที่ถูกสื่อเรียกรวมกันว่าเป็นผลงานของ Lazarus Group เพียงกลุ่มเดียวนั้น แท้จริงแล้วเป็นผลงานของกลุ่มก่อการร้ายถึงสามกลุ่ม แบ่งออกเป็นกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38 โดยรายงานฉบับดังกล่าวมีชื่อว่า APT38: Un-usual Suspects เน้นให้รายละเอียดของกลุ่ม APT 38 ที่แตกต่างจากกลุ่ม TEMP.Hermit และ Lazarus Group

รายละเอียด
ตั้งแต่มีการโจมตีบริษัท Sony Pictures ในปี 2014 ทั่วโลกต่างรับรู้ว่ามีกลุ่มก่อการร้ายทางไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากเกาหลีเหนือ โดยเหตุการณ์โจมตีต่างๆ ที่น่าจะเกี่ยวข้องกับเกาหลีเหนือต่างถูกเรียกรวมกันว่าเป็นฝีมือของ Lazarus Group แต่ FireEye ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยทางไซเบอร์ไม่เชื่อเช่นนั้น จากการวิเคราะห์เหตุการณ์การโจมตีต่างๆ ที่เกิดขึ้นโดยวิเคราะห์จากทั้งเป้าหมายในการโจมตี เครื่องมือที่ใช้ในการโจมตี ไปจนถึงมัลแวร์ที่ถูกใช้ในการโจมตี FireEye เชื่อว่าเหตุการณ์ทั้งหมดเกิดจากกลุ่มก่อการร้ายสามกลุ่ม ประกอบไปด้วยกลุ่มที่มีเป้าหมายก่อการร้ายทางไซเบอร์สองกลุ่ม คือ TEMP.Hermit และ Lazarus Group กับกลุ่มที่มีเป้าหมายโจมตีสถาบันการเงิน คือ APT38

เนื่องจากมีการจับตาและการให้ข้อมูลเกี่ยวกับกลุ่ม TEMP.Hermit และ Lazarus Group แล้ว FireEye จึงออกรายงาน APT38: Un-usual Suspects เพื่อให้รายละเอียดโดยเฉพาะเกี่ยวกับกลุ่ม APT38

FireEye ระบุว่ากลุ่ม APT38 เริ่มดำเนินการมาตั้งแต่ปี 2014 โดยมีเป้าหมายเพียงอย่างเดียวคือการโจรกรรมโดยโจมตีสถาบันทางการเงินต่างๆ ทั่วโลก ซึ่งกลุ่ม APT38 ได้มีความพยายามในการโจรกรรมรวมมูลค่าแล้วกว่า 1.1 พันล้านดอลลาร์สหรัฐฯ และได้เงินไปแล้วกว่า 100 ล้านดอลลาร์สหรัฐฯ

FireEye ระบุ timeline ของ APT38 ไว้ดังนี้

เดือนธันวาคม ปี 2015 โจมตี TPBank ในเวียดนาม
เดือนมกราคม ปี 2016 โจมตี Bangladesh Bank โดยเป็นการโจมตีระบบ SWIFT ภายใน
เดือนตุลาคม ปี 2017 โจมตี Far Eastern International Bank ในไต้หวัน โดยเป็นการโจมตีเพื่อถอนเงินจำนวนมากออกจาก ATM (ATM cash-out scheme)
เดือนมกราคม ปี 2018 โจมตี Bancomext ในเม็กซิโก
เดือนพฤษภาคม ปี 2018 โจมตี Banco de Chile ในชิลี

ซึ่ง FireEye เชื่อว่ากลุ่ม APT38 เริ่มต้นโจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้ในช่วงแรกของการก่อตั้ง (2014) และค่อยๆ ขยายการดำเนินการไปทั่วโลกในปัจจุบัน
เทคนิคการโจมตีของ APT38
FireEye ระบุว่าการโจมตีของ APT38 ประกอบด้วยแบบแผนที่มีลักษณะดังนี้

Information Gathering รวบรวมข้อมูล: โดยทำการค้นคว้าข้อมูลของเป้าหมาย เช่น บุคลากรภายใน และค้นคว้าข้อมูลของผู้รับเหมาที่เกี่ยวข้องกับเป้าหมายเพื่อหาทางแทรกซึมเข้าไปในระบบ SWIFT
Initial Compromise เริ่มต้นการโจมตี: โจมตีแบบซุ่มดักเหยื่อตามแหล่งน้ำ (Watering Hole Attack) และโจมตีช่องโหว่ที่ไม่ได้รับการอัปเดตของ Apache Struts2 เพื่อส่งคำสั่งไปยังระบบ
Internal Reconnaissance สำรวจระบบ: ปล่อยมัลแวร์เพื่อรวบรวม credentials, สำรวจระบบเน็ตเวิร์ค และใช้เครื่องมือที่มีอยู่ในระบบของเป้าหมายในการแสกนระบบ เช่น ใช้ Sysmon เพื่อดูข้อมูล
Pivot to Victim Servers Used for SWIFT Transactions  ค้นหาเซิร์ฟเวอร์สำหรับระบบ SWIFT: ปล่อยมัลแวร์เพิ่ม โดยเป็นมัลแวร์สำหรับค้นหาและติดตั้ง backdoor บนเซิร์ฟเวอร์สำหรับระบบ SWIFT เพื่อให้สามารถส่งคำสั่งได้โดยไม่โดนตรวจจับ
Transfer funds ขโมยเงินออกไป: ปล่อยมัลแวร์สำหรับส่งคำสั่ง SWIFT ปลอมเพื่อโอนเงินออกและแก้ไขประวัติการทำธุรกรรม โดยมักจะเป็นการโอนเงินไปยังหลายๆ บัญชีเพื่อฟอกเงิน
Destroy Evidence ทำลายหลักฐาน: ลบ log, ปล่อยมัลแวร์เพื่อลบข้อมูลในฮาร์ดดิส และอาจปล่อย ransomware ที่เป็นที่รู้จักเพื่อขัดขวางกระบวนการสอบสวนและทำลายหลักฐาน

 

โดยผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมของกลุ่ม APT38 ซึ่งรวมไปถึงมัลแวร์ต่างๆ ที่ใช้ได้จาก APT38: Un-usual Suspects
ที่มา

https://content.

According to the experts, North Korea is behind the SWIFT attacks in Latin America

จากเหตุการณ์ที่ธนาคาร Bamcomext และธนาคาร Bank of Chile ถูกโจมตีทั้งในรูปแบบของการใช้มัลแวร์ KillDisk เพื่อแพร่ระบาดในเครือข่ายของธนาคารและรูปแบบของการเข้ายึดและสั่งการระบบ SWIFT ของธนาคารให้มีการโอนเงินออกมา อ้างอิงจากแหล่งข่าวของ Cyberscoop คนในสามคนที่เข้าตรวจสอบเหตุการณ์นี้ได้ออกมายืนยันแล้วว่าเป็นการโจมตีที่มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ของเกาหลีเหนือ

กลุ่มแฮกเกอร์เกาหลีเหนือตกเป็นผู้ต้องสงสัยในการโจมตีระบบของธนาคารเพื่อขโมยเงินหลายครั้ง โดยหนึ่งในกลุ่มแฮกเกอร์ซึ่งเป็นที่รู้จักกันว่ามีแรงจูงใจในการโจมตีเพื่อการแสวงหาเงินนั้นคือกลุ่ม Lazarus Group (ชื่ออื่น HIDDEN COBRA, Unit 121)

แม้ว่ากลุ่มผู้โจมตีจะมีการใช้มัลแวร์ KillDisk หรือ MBR Killer ในการสร้างความเสียหายและดึงความสนใจ การปรากฎตัวของมัลแวร์ดังกล่าวก็ไม่ได้เป็นหลักฐานในการยืนยันที่ดีมากนักแม้ว่ามัลแวร์ในลักษณะเดียวกันจะเคยปรากฎในครั้งที้ธนาคารสัญชาติไต้หวันถูกโจมตีมาแล้ว เนื่องจากซอร์สโค้ดของมัลแวร์ทั้งสองประเภทนี้นั้นถูกปล่อยขายอยู่ในตลาดมืดออนไลน์โดยทั่วไป

อย่างไรก็ตามนอกเหนือจากการปรากฎตัวของมัลแวร์ KillDisk หรือ MBR Killer และความคลุมเครือของมัน อ้างอิงจากรายงานการวิเคราะห์ของ Flashpoint (TLP: Amber) Flashpoint ยังคงยืนยันว่าโมดูลของ MBR Killer, RAT และ TTP ของผู้โจมตีนั้นมีความเกี่ยวข้องกับกรณีการโจมตีสถาบันทางการเงินอื่นๆ และยังสามาถเชื่อมโยงกลับไปยังเกาหลีเหนือได้

Lazarus Group หรือ HIDDEN Cobra มักใช้เทคนิค Spear Phishing เพื่อให้สามารถเข้าถึงเครือข่ายภายในของธนาคารได้ ก่อนจะทำการติดตั้งและดาวโหลดมัลแวร์ต่างๆ ที่ทำให้ผู้โจมตีสามารถควบคุมระบบภายได้ ท้ายที่สุดผู้โจมตีจะมีการทำ Lateral Movement เพื่อค้นหาระบบที่เกี่ยวข้องกับระบบ SWIFT ก่อนที่จะดำเนินสั่งโอนเงินออกมา

ที่มา : Security Affairs

Crims pull another SWIFT-ie, Indian bank stung for nearly US$2m

ธนาคารสัญชาติอินเดีย City Union Bank ได้มีการประกาศแจ้งเตือนลูกค้าเมื่อวันอาทิตย์ที่ผ่านมาหลังจากตรวจพบการทำธุรกรรมที่ผิดปกติจากระบบ SWIFT ของทางธนาคารและยืนยันผ่านทางประกาศว่าระบบของธนาคารถูกโจมตี โดยผู้โจมตีประสบความสำเร็จในการถอนเงินออกจากธนาคารไปได้เกือบ 2 ล้านดอลลาร์สหรัฐฯ
อ้างอิงจากแถลงการณ์ของธนาคาร ทางธนาคารได้มีการยืนยันว่าการโจมตีดังกล่าวนั้นเกิดขึ้นจากองค์กรอาชญากรข้ามชาติที่มุ่งโจมตีระบบของธนาคารโดยตรง และยืนยันว่าไม่มีการร่วมมือของบุคคลภายในในการโจมตีแต่อย่างใด
สำหรับธุรกรรมที่ถูกดำเนินการผิดปกตินั้นประกอบด้วย 3 ธุรกรรมย่อยซึ่งทั้งหมดนั้นถูกบล็อคอันเนื่องมาจากพฤติกรรมที่ผิดปกติ โดยหนึ่งในสามของธุรกรรมที่เป็นการโอนเงินมูลค่า 500,000 ดอลลาร์สหรัฐฯ ได้รับการยืนยันว่ามีการส่งคืนเงินจำนวนดังกล่าวแล้ว ทาง City Union Bank จะดำเนินการประสานงานกับธนาคารปลายทางเพื่อเจรจาขอยกเลิกการทำธุรกรรมและกู้คืนเงินในแต่ละธุรกรรมต่อไป
ในขณะนี้ยังไม่มีข้อมูลที่แน่ชัดถึงวิธีการที่ผู้โจมตีดำเนินการเพื่อโจมตีระบบ

ที่มา : theregister

Sri Lanka arrests two over hacking of Taiwan bank accounts

ธนาคาร Far Eastern Bank ถูกขโมยเงินผ่านมัลแวร์ที่สั่งการระบบ SWIFT

เว็บไซต์ข่าวสัญชาติไต้หวัน Focus Taiwan ได้มีการเผยแพร่ข้อมูลกรณีที่ธนาคาร Far Eastern Bank ถูกโจมตี และมีการสั่งโอนเงินออกไปยังบัญชีปลายทางที่อยู่ใน ศรีลังกา, เขมรและสหรัฐฯ

Focus Taiwan ให้ข้อมูลเพิ่มเติมเกี่ยวกับกรณีนี้ว่าธนาคาร Far Eastern Bank ได้ตรวจพบการโจมตีตั้งแต่วันอังคารที่ 3 ตุลาคม 2017 ที่ผ่านมาและได้มีการแจ้งไปยังหน่วยงานที่กำกับดูแลที่เกี่ยวข้องทันที โดยลักษณะการโจมตีนั้นผู้โจมตีได้มีการโจมตีและติดตั้งมัลแวร์ไว้ในระบบของธนาคาร ซึ่งทำให้ผู้โจมตีมีสิทธิ์ในการที่จะเข้าถึงระบบที่เกี่ยวข้องกับการโอนเงินและสร้างรายละเอียดการทำธุรกรรมปลอมในระบบ SWIFT เพื่อโอนเงินออกมา

Liu Lung-Kang รองประธานธนาคาร Far Eastern Bank ได้ออกมาบอกกับสื่อว่า ที่มาของมัลแวร์นั้นยังไม่ชัดเจน แต่จากการตรวจสอบในเบื้องต้นนั้นมัลแวร์ประเภทดังกล่าวน่าจะเป็นมัลแวร์ชนิดใหม่ที่ไม่เคยมีการตรวจพบมาก่อน

ที่มาของการแจ้งเตือนการปล้นดังกล่าวนั้นมาจากธนาคาร Bank of Ceylon หลังจากที่ทางธนาคารตรวจพบการโอนเงินมาจาก Far Eastern Bank จำนวนรวมกว่า 1.2 จาก 60 ล้านเหรียญสหรัฐฯ และยังมีการถอนเงินจากผู้ต้องสงสัย จากข้อมูลทั้งหมด Bank of Ceylon ได้ร่วมกับตำรวจเพื่อดำเนินการจับกุมชาย 2 คนในศรีลังกาที่น่าจะเกี่ยวข้องกับการปล้นในครั้งนี้ทันที

ด้วยความช่วยเหลือจากนานาชาติ ในขณะนี้ Far Eastern Bank กำลังดำเนินการเรียกเงินคืนทั้งหมด โดยมูลค่าความเสียหายที่จะเกิดขึ้นจริงหลังจากเรียกเงินคืนแล้วนั้นน่าจะอยู่ต่ำกว่า 500,000 เหรียญสหรับฯ

อย่างไรก็ตามยังไม่มีข้อมูลรายละเอียดทางเทคนิคว่าผู้โจมตีใช้เทคนิคใดในการโจมตีและมัลแวร์ที่ถูกใช้ในการโจมตีนั้นมีศักยภาพมากน้อยแค่ไหน

ที่มา : REUTERS

SWIFT Hackers Steal $10 Million From Ukrainian Bank

ISACA องค์กรชื่อดังทางด้าน IT Governance ออกมาเปิดเผยว่า ธนาคารแห่งหนึ่งในประเทศยูเครนถูกเจาะระบบ SWIFT (ระบบโอนเงินธนาคารระหว่างประเทศ) ส่งผลให้แฮ็คเกอร์สามารถขโมยเงินออกไปได้กว่า $10 ล้าน หรือประมาณ 350 ล้านบาท
โดยการจารกรรมครั้งนี้เกิดจากการแฮ็คผ่านระบบความมั่นคงปลอดภัยของธนาคารซึ่งคล้ายกับกรณีที่ธนาคารกลางของบังคลาเทศที่ถูกแฮ็คและขโมยเงินไปกว่า $81 ล้าน

จากเหตุการณ์การเจาะระบบ SWIFT ที่ผ่านมา พบว่า แฮ็คเกอร์มักจะโจมตีผ่านช่องโหว่บน Transfer Initiation Environment ของ Banks Funds ก่อนที่คำร้องขอจะถูกส่งเข้าไปยังระบบ SWIFT ซึ่งสามารถอธิบายเป็นขั้นตอนได้ดังนี้

• ใช้มัลแวร์ในการเก็บรวบรวมข้อมูลและจำกัดขอบเขตของธนาคารที่เป็นเป้าหมาย
• เข้าถึงระบบเครือข่ายสื่อสารระหว่างประเทศของ SWIFT
• ส่งคำร้องขอปลอมผ่านทางระบบ SWIFT เพื่อเริ่มการโอนเงินจากบัญชีของธนาคารใหญ่ๆ

อย่างไรก็ตาม ISACA ไม่ได้สามารถเปิดเผยชื่อธนาคารที่ว่าจ้างได้ เนื่องจากติดเงื่อนไขของสัญญาการให้บริการ

ที่มา: thehackernews

How Did Hackers Who Stole $81 Million from Bangladesh Bank Go Undetected

จากกรณีที่แฮกเกอร์เจาะเข้าระบบเซิร์ฟเวอร์ของธนาคารกลางบังคลาเทศ แล้วส่งคำร้องไปยัง Federal Reserve Bank ในนิวยอร์คเพื่อขโมยเงินกว่า $1,000 ล้านเหรียญสหรัฐฯ เคราะห์ดีที่แฮกเกอร์ดันพลาด สะกดคำผิด เลยทำให้โอนเงินสำเร็จเพียงไม่กี่รายการ สูญเงินไปเพียง $81 ล้านเหรียญ จากการตรวจสอบของ BAE Systems บริษัทป้องกันภัยจากสหราชอาณาจักรระบุว่า สาเหตุมาจากการแฮกเข้าระบบผ่านทางแพลทฟอร์มการเงินชื่อดังอย่าง SWIFT แล้วทำการปล่อยมัลแวร์ชนิดพิเศษลงไป เพื่อซ่อนหลักฐานและหลบ
การขโมยเงินจากธนาคารบังคลาเทศครั้งนี้ เรียกได้ว่าเป็นหนึ่งในการปล้นธนาคารครั้งที่ใหญ่ที่สุดในประวัติศาสตร์ ซึ่งก่อนหน้านี้ ทีมสืบสวนของตำรวจบังคลาเทศได้เปิดเผยหลักฐานสำคัญที่ระบุว่า ธนาคาใช้เพียง Router มือสองราคา $10 ในการจัดการกับระบบเครือข่ายโดยไม่มี Firewall ส่งผลให้แฮกเกอร์สามารถเข้าถึงระบบของธนาคารได้ทั้งหมด ไม่เว้นแม้แต่เซิร์ฟเวอร์ SWIFT
นักวิจัยจาก BAE Systems เปิดเผยเมื่อวันจันทร์ที่ผ่านมานี้ว่า แฮกเกอร์โจมตีธนาคารกลางบังคลาเทศด้วยการใช้มัลแวร์ที่ปรับแต่งมาเป็นพิเศษลบร่องรอยของแฮกเกอร์ โดยทำการปรับเปลี่ยนข้อมูล Log และลบประวัติการหลอกทำธุรกรรมไปจนหมด รวมไปถึงสั่งให้เครื่องพิมพ์ไม่พิมพ์ข้อมูลธุรกรรมที่หลอกทำลงไป นอกจากนี้ มัลแวร์ดังกล่าวยังสามารถดักจับและทำลายข้อความที่ยืนยันการโอนเงินทิ้งไปได้อีกด้วย ส่งผลให้ไม่สามารถตรวจจับการแฮกได้เลย

ที่มา : thehackernews