Tags:
Node Thumbnail

FireEye ออกรายงานวิเคราะห์มัลแวร์ RIPPER (ชื่อโครงการในตัวอย่างมัลแวร์ว่า ATMRIPPER) ถูกส่งไปวิเคราะห์บน VirusTotal เมื่อวันที่ 23 สิงหาคมที่ผ่านมาจากไอพีในประเทศไทย ก่อนการรายงานข่าวการแฮกตู้เอทีเอ็มของธนาคารออมสินเพียงไม่กี่นาที มีค่า MD5 เป็น 15632224b7e5ca0ccb0a042daf2adc13 โดยมัลแวร์มุ่งควบคุมระบบจ่ายธนบัตรในตู้เอทีเอ็ม และสามารถรับคำสั่งจากเจ้าของมัลแวร์หากตู้ได้รับบัตร EMV ที่กำหนดไว้

รายงานของ FireEye ไม่ได้ระบุว่าตัวมัลแวร์เข้าไปในตู้ได้อย่างไร แต่เมื่อเข้าไปแล้วหาสั่งรันด้วยอาร์กิวเมนต์ service install มันจะเข้าไปแทนที่ DBackup Service และหากรันด้วยอาร์กิวเมนต์ /install จะติดตั้งตัวเองแทนที่ซอฟต์แวร์ของผู้ผลิต พร้อมกับแก้ registry เพื่อให้รันใหม่ทุกครั้งที่บูตเครื่อง

เมื่อรันโดยไม่มีอาร์กิวเมนต์ ตัวมัลแวร์จะเชื่อมต่อกับกล่องจ่ายธนบัตร, ตัวอ่านการ์ด, และแป้นพิมพ์ จากนั้นรอให้ตู้ได้รับการ์ด EMV (บัตรชิป) ที่ตรงตามเงื่อนไข (ตรงกับที่พล.ต.อ.ปัญญา ระบุว่าต้องใช้บัตรอิเล็กทรอนิกส์ แต่เป็นการใช้เพื่อยืนยันว่าคนร้ายอยู่หน้าตู้ ไม่ใช่การติดตั้ง) จะขึ้นหน้าจอรับคำสั่ง รวมถึงคำสั่งคำสั่งจ่ายเงินจากกล่องจ่ายเงิน (ไม่เกินครั้งละ 40 ใบ), คำสั่งปิดเน็ตเวิร์ค

รายงานของ FireEye ระบุว่ามัลแวร์ตัวนี้มุ่งเป้าไปที่ผู้ผลิตตู้ ATM หลายราย ขณะที่ข่าวการแฮกตู้เอทีเอ็มของธนาคารออมสินมักระบุว่ากระทบตู้เอทีเอ็มจากผู้ผลิตรายเดียว ทาง FireEye ระบุว่ามัลแวร์ RIPPER อาจเกี่ยวข้องกับการแฮกตู้เอทีเอ็มในไทย จากความเชื่อมโยงกัน แต่การยืนยันคงต้องรอธนาคารออมสินหรือธนาคารแห่งประเทศไทยยืนยันต่อไป

ที่มา - FireEye

Get latest news from Blognone

Comments

By: natong on 27 August 2016 - 18:31 #935680

เจ้าหน้าที่ชอบดูข่าว Clickbait พวกข่าวโป๊ๆ เผลอไปคลิกเข้าให้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 27 August 2016 - 20:15 #935689 Reply to:935680
lew's picture

ไม่มีอะไรบอกว่ามันติดเพราะมีใครคลิกลิงก์นะครับ

คอมเมนต์มั่วๆ แบบนี้ควรคิดก่อนไปกล่าวหาคนอื่น


lewcpe.com, @public_lewcpe

By: zerost
AndroidWindows
on 28 August 2016 - 07:57 #935742 Reply to:935680
zerost's picture

ตามโพลิซีของฝ่ายไอทีที่ดูแลระบบธนาคารผมว่าเขาไม่เอาคอมที่เซิฟเน็ตทั่วไปหรือใช้งานจิปาถะได้มาอยู่ในวงเดียวกับระบบสำคัญที่ทำธุรกรรมอยู่แล้วนะครับ

By: Kerberos
AndroidRed HatUbuntuWindows
on 28 August 2016 - 00:57 #935719
Kerberos's picture

ในรายงานเขาบอกว่าติดตั้งโดยใช้บัตร ATM พิเศษ ที่ยืนยันตัวด้วยชิป EMV ครับ

By: somphong.s
AndroidWindows
on 28 August 2016 - 08:47 #935748 Reply to:935719

ใช้ประตูลับ ประตูหลัง กันเลย
ถ้าแบบนี้ จะว่า ผิดที่ผู้ผลิตตู้ เหมาะสมมั้ย

By: lew
FounderJusci's WriterMEconomicsAndroid
on 28 August 2016 - 11:15 #935761 Reply to:935719
lew's picture

คิดว่ามาจากประโยคนี้ "RIPPER is installed on the ATM by inserting a specially manufactured ATM card with an EMV chip that serves as the authentication mechanism."

อันนี้ผมงงๆ อยู่ว่าเขาหมายถึงอะไร เพราะอย่างแรกเลยคือ FireEye (ในรายงานนี้) ไม่ได้รับตัวอย่างเครื่องที่โดนแฮก ได้เพียงตัวอย่างมัลแวร์ การเห็นไฟล์แล้วทำให้รู้ได้อย่างไรว่าไฟล์มันลงไปได้อย่างไร

อย่างที่สองคือที่อื่นๆ ในบทความเขียนระบุเพียงว่าใช้การ์ด EMV เพื่อยืนยันตัวคนร้ายเท่านั้น ไม่ได้ระบุถึงรายละเอียดของประโยคนี้อีก ผมจึงละไปจนกว่าจะมีข้อมูลเพิ่มเติมครับ


lewcpe.com, @public_lewcpe

By: neohacker
iPhoneWindows PhoneAndroid
on 28 August 2016 - 09:39 #935754
  1. ตู้ที่ติดไวรัสคือตู้ยี่ห้อ NCR
  2. ธนาคารรู้ว่าตู้ติดไวรัสและมีเงินหายไปตั้งแต่ก่อนวันที่ 23 สค. 59
  3. ธนาคารได้มีการปิดตู้ยี่ห้อดังกล่าวก่อนที่จะมีการรายงานข่าวในวันที่ 23 สค. 59 มา 2-3 อาทิตย์แล้ว

Sample file ที่ถูกส่งขึ้น VirusTotal น่าจะถูกส่งขึ้นไปโดยฝ่าย IT ของธนาคารหรือบริษัทที่ดูแลตู้คือ NCR มากกว่า

By: lew
FounderJusci's WriterMEconomicsAndroid
on 28 August 2016 - 12:09 #935770 Reply to:935754
lew's picture

หรืออาจจะไม่เกี่ยวกันเลย เป็นมัลแวร์อื่นที่มีคนอัพโหลดก็ได้เหมือนกันครับ

รายงานเลยบอกว่ามีความเชื่อมโยง ระยะเวลาตรงกัน แต่ก็ไม่ได้ฟันธงว่าใช่ตัวเดียวกัน


lewcpe.com, @public_lewcpe