แคสเปอร์สกี้ แลป ประกาศผลการค้นคว้าวิจัยกลุ่มแฮกเกอร์ชื่อ สกิเมอร์ (Skimer) ที่ดำเนินการติดตั้งอุปกรณ์สกิมเมอร์ที่ตู้เอทีเอ็มเพื่อขโมยเงินของลูกค้าธนาคาร สกิเมอร์ถูกค้นพบครั้งแรกในปี 2009 นับเป็นโปรแกรมมุ่งร้ายตัวแรกที่พุ่งโจมตีตู้เอทีเอ็มโดยเฉพาะ และตอนนี้! กลุ่มโจรไซเบอร์ก็นำมัลแวร์ตัวนี้กลับมาใช้อีกครั้ง พร้อมเพิ่มความร้ายกาจและก่อภัยคุกคามรุนแรงต่อธนาคารและลูกค้าทั่วโลก

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบร่องรอยมัลแวร์เวอร์ชั่นที่ปรับปรุงแก้ไขใหม่ที่แอบฝังตัวที่ตู้เอทีเอ็มที่รอคอยคอมมานด์ 21 รายการจากโจรไซเบอร์ พร้อมค้นพบวิธีการโจมตีล่าสุดอีกด้วย

กลุ่มสกิเมอร์เริ่มกระบวนการโจมตีโดยการช่องทางเข้าระบบเอทีเอ็ม ไม่ว่าจะเป็นการแฮกแบบฟิสิกคอล หรือแฮกผ่านเน็ตเวิร์กภายในของธนาคาร จากนั้นก็ติดตั้งแบ็คดอร์ Backdoor.Win32.Skimer ในระบบ และแพร่กระจายสู่คอร์ของตู้เอทีเอ็ม ซึ่งเป็นส่วนสั่งการและสื่อสารกับโครงสร้างของระบบธนาคาร การเบิกจ่ายเงิน และบัตรเครดิต ทำให้โจรไซเบอร์สามารถถอนเงินจากตู้เอทีเอ็ม และขโมยข้อมูลต่างๆ จากบัตรทุกประเภทที่เสียบใช้ที่ตู้นี้ รวมถึงเลขบัญชีธนาคารและรหัสผ่าน

มัลแวร์สกิเมอร์จะแตกต่างจากอุปกรณ์สกิมเมอร์ทั่วไป ตรงที่ผู้ใช้งานทั่วไปจะตรวจจับมัลแวร์เองไม่ได้เพราะไม่มีลักษณะทางกายภาพให้เห็นว่าตู้เอทีเอ็มถูกดัดแปลง

กลุ่มโจรไซเบอร์มักวางแผนให้มัลแวร์ทำงานเก็บข้อมูลจากบัตรต่างๆ อย่างเงียบๆ นานหลายเดือน และใช้ประโยชน์จากข้อมูลที่ได้ มากกว่าที่จะกดเงินสดออกจากตู้เอทีเอ็มซึ่งจะเป็นการเปิดเผยตัวให้ธนาคารจับได้ในทันที โดยเมื่อถึงเวลาที่ต้องการ โจรไซเบอร์จะสอดบัตรแถบแม่เหล็กพิเศษที่ตู้เอทีเอ็ม และใช้คอมมานด์สั่งการที่มีทั้งหมด 21 คำสั่ง ไม่ว่าจะเป็นการกดเงินสด การเก็บข้อมูลจากบัตรของลูกค้าธนาคาร การลบมัลแวร์ การอัพเดทมัลแวร์ เป็นต้น

ส่วนใหญ่แล้ว ข้อมูลบัญชีธนาคารและรหัสผ่านที่รวบรวมได้จากบัตรต่างๆ จะถูกคัดลอกใส่บัตรใหม่และนำไปใช้กดเงินสดที่ตู้เอทีเอ็มเครื่องอื่น เพื่อไม่ให้ธนาคารจับได้ว่า ตู้เอทีเอ็มเครื่องไหนที่มีมัลแวร์ เพื่อเก็บไว้แฮกข้อมูลได้ต่อไป

สกิเมอร์แพร่กระจายอย่างหนักในช่วงปี 2010-2013 ทำให้เกิดเหตุการณ์โจมตีตู้เอทีเอ็มจำนวนมากขึ้น ซึ่งผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป พบมัลแวร์ที่แตกต่างกันถึง 9 ตระกูล มัลแวร์สกิเมอร์ประกอบด้วยโมดิฟิเคชั่นทั้งสิ้น 49 รายการ โดยมี 37 รายการที่โจมตีตู้เอทีเอ็มของผู้ผลิตรายใหญ่เจ้าหนึ่งโดยเฉพาะ ผู้เชี่ยวชาญตรวจพบมัลแวร์เวอร์ชั่นล่าสุดเมื่อต้นเดือนพฤษภาคมที่ผ่านมานี่เอง

ทั้งนี้พบการระบาดของมัลแวร์สกิเมอร์แล้วในวงกว้างที่ประเทศสหรัฐอาหรับเอมิเรตส์ ฝรั่งเศส สหรัฐอเมริกา รัสเซีย เขตปกครองพิเศษมาเก๊า จีน ฟิลิปปินส์ สเปน เยอรมนี จอร์เจีย โปแลนด์ บราซิล และสาธารณรัฐเช็ก

เซอร์เจย์ โกโลวานอฟ ผู้เชี่ยวชาญความปลอดภัยอาวุโส แคสเปอร์สกี้ แลป กล่าวว่า “ในกรณีเช่นนี้ จำเป็นต้องมีมาตรการโต้ตอบเพิ่มเติมจากปกติ แบ็คดอร์ Backdoor.Win32.Skimer ในตู้เอทีเอ็มจะสื่อสารและตรวจสอบข้อมูลเลขเก้าหลักกับบัตรแถบแม่เหล็กพิเศษของแฮกเกอร์เพื่อสั่งดำเนินการต่างๆ ซึ่งข้อมูลเลขเก้าหลักที่เราตรวจเจอนี้ เราได้ประสานและส่งต่อให้กับธนาคารต่างๆ เพื่อใช้ค้นหาและกำจัดมัลแวร์ในระบบประมวลผลของตู้เอทีเอ็ม”

เพื่อป้องกันภัยคุกคามนี้ แนะนำธนาคารดำเนินการสแกนไวรัสตามตารางพื้นฐานที่ใช้เทคโนโลยี Whitelisting รวมถึงการกำหนดนโยบายจัดการอุปกรณ์ที่ดี ดิสก์เข้ารหัสอยู่เสมอ ปกป้อง BIOS ของตู้เอทีเอ็มด้วยรหัสผ่าน อนุญาตการบูตเครื่องฮาร์ดดิสก์เท่านั้น และแยกเน็ตเวิร์กของตู้เอทีเอ็มออกจากเน็ตเวิร์กภายในอื่นๆ ของธนาคารด้วย

ข้อมูลเพิ่มเติม
• ATM infector
https://securelist.com/blog/research/74772/atm-infector/
• ATM Infector: Skimer malware in action คลิปแสดงการทำงานของมัลแวร์สกิเมอร์
https://youtu.be/hOcFy02c7x0

#

เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก (deep threat intelligence) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com