ในช่วงนี้ จากข่าวที่เสนอให้องค์กรธุรกิจและผู้ใช้ตามบ้านรีบอัพเกรดระบบ Windows XP ที่มีอยู่ให้เป็น Windows เวอร์ชั่นใหม่ ก่อน 8 เมษายน เพื่อความปลอดภัย คราวนี้มาในส่วนของธนาคารก็ต้องรีบอัพเกรดระบบด้วยเพราะ ตู้ ATM ของธนาคารส่วนใหญ่เป็น Windows XP มากถึงเกือบ 95 เปอร์เซ็นต์ ทำให้หลังวันที่ 8 เมษายนนี้ ตู้ ATM ส่วนใหญ่ตกอยู่ในความเสี่ยงจากภัยคอมพิวเตอร์
ทั้งนี้ธุรกิจธนาคารก็ต้องเผชิญกับความเสี่ยงที่ร้ายแรงของการโจมตีทางไซเบอร์ที่พุ่งเป้าไปยังตู้ ATM ความเสี่ยงที่ว่านี้ไม่ได้เป็นเพียงข้อสันนิษฐานเท่านั้น แต่เป็นเรื่องที่เกิดขึ้นจริง โดยอาชญากรทางไซเบอร์กำลังมุ่งโจมตีตู้ ATM ด้วยเทคนิคที่ซับซ้อนมากขึ้น
ในช่วงปลายปี 2556 Symantec บริษัทด้านรักษาความปลอดภัยบนคอมพิวเตอร์ ได้เขียนบล็อกเกี่ยวกับมัลแวร์ชนิดใหม่ที่โจมตีระบบ ATM ในเม็กซิโก ซึ่งสามารถบังคับให้ตู้ ATM ปล่อยเงินสดออกมาได้ตามสั่งโดยใช้คีย์บอร์ดภายนอกในการควบคุม ภัยคุกคามดังกล่าวมีชื่อว่า Backdoor.Ploutus หลายสัปดาห์ต่อมา พบมัลแวร์รุ่นใหม่ที่แสดงให้เห็นว่ามัลแวร์ดังกล่าวได้พัฒนาไปสู่สถาปัตยกรรมแบบโมดูลาร์ นอกจากนี้ มัลแวร์รุ่นใหม่ยังแปลเป็นภาษาอังกฤษอีกด้วย ซึ่งแสดงให้เห็นว่าผู้สร้างมัลแวร์ได้ขยายขอบเขตไปสู่ประเทศอื่นๆ โดยมัลแวร์รุ่นใหม่นี้ใช้ชื่อว่า Backdoor.Ploutus.B (ในบล็อกนี้เรียกว่า Ploutus)
สิ่งที่น่าสนใจเกี่ยวกับ Ploutus รุ่นนี้ก็คือ มัลแวร์ดังกล่าวช่วยให้อาชญากรไซเบอร์สามารถส่งข้อความ SMS ไปยังตู้ ATM ที่ติดเชื้อ แล้วเดินไปที่ตู้เพื่อหยิบเงินสดที่ปล่อยออกมา หลายท่านอาจคิดว่าไม่น่าเชื่อ แต่เทคนิคกำลังถูกใช้งานในหลายๆ ที่ทั่วโลกในตอนนี้
รูปที่ 1. วิธีที่ผู้โจมตีถอนเงินสดจากตู้เอทีเอ็มโดยใช้โทรศัพท์
การเชื่อมต่อโทรศัพท์มือถือกับตู้ ATM
คนร้ายสามารถควบคุมตู้ ATM ในแบบระยะไกล (Remote Desktop ) โดยใช้โทรศัพท์มือถือซึ่งเชื่อมต่ออยู่ภายในตู้ ATM มีหลายวิธีในการเชื่อมต่อโทรศัพท์มือถือเข้ากับตู้ ATM วิธีที่ใช้กันโดยทั่วไปก็คือ การตั้งค่าที่เรียกว่า USB Tethering ซึ่งเป็นการเชื่อมต่ออินเทอร์เน็ตแบบใช้ร่วมกันระหว่างโทรศัพท์และคอมพิวเตอร์ซึ่งกรณีนี้ก็คือ ตู้ ATM นั่นเอง
ผู้โจมตีจำเป็นที่จะต้องตั้งค่าโทรศัพท์อย่างถูกต้อง เชื่อมต่อโทรศัพท์เข้ากับ ATM และติดตั้ง Ploutus ไว้บนเครื่อง ATM หลังจากที่ดำเนินการตามขั้นตอนเหล่านี้แล้ว ก็จะมีการเชื่อมต่อแบบสองทางอย่างสมบูรณ์ และโทรศัพท์ก็จะพร้อมใช้งาน
เนื่องจากโทรศัพท์ถูกเชื่อมต่อกับ ATM ผ่านทางพอร์ต USB ดังนั้นโทรศัพท์จึงใช้พลังงานจากการเชื่อมต่อเพื่อชาร์จแบตเตอรี่ของโทรศัพท์ ด้วยเหตุนี้ โทรศัพท์จะมีพลังงานใช้อย่างต่อเนื่อง
ส่งข้อความ SMS ไปยัง ATM
หลังจากที่โทรศัพท์มือถือเชื่อมต่อกับตู้ ATM และการตั้งค่าเสร็จสมบูรณ์ คนร้ายจะสามารถส่งข้อความคำสั่งเอสเอ็มเอสที่เฉพาะเจาะจงไปยังโทรศัพท์ที่เชื่อมต่ออยู่ภายในตู้ ATM เมื่อโทรศัพท์ตรวจพบข้อความใหม่ในรูปแบบที่คนร้ายกำหนด โทรศัพท์ก็จะแปลงข้อความเป็นแพ็คเก็ตข้อมูลเครือข่าย และจะส่งต่อไปยังเครื่อง ATM ผ่านการเชื่อมต่อสาย USB
ตัวตรวจสอบแพ็คเก็ตเครือข่าย (Network Packet Monitor – NPM) เป็นโมดูลของมัลแวร์ที่ทำหน้าที่เป็นตัวดักจับข้อมูลแพ็คเก็ต โดยจะตรวจสอบแทรฟฟิกเครือข่ายทั้งหมดที่เกิดขึ้นในระบบ ATM ทันทีที่เครื่อง ATM ที่ติดเชื้อได้รับแพ็คเก็ต TCP หรือ UDP ที่ถูกต้องจากโทรศัพท์ NPM ก็จะวิเคราะห์แพ็คเก็ตนั้นและค้นหา “5449610000583686” ที่ค่าออฟเซ็ตที่เฉพาะเจาะจงภายในแพ็คเก็ต เพื่อประมวลผลแพ็คเก็ตข้อมูลทั้งหมด เมื่อตรวจพบหมายเลขที่เฉพาะเจาะจง NPM ก็จะอ่านเลข 16 หลักถัดไป และใช้ในการสร้างบรรทัดคำสั่งเพื่อรัน Ploutus ตัวอย่างของคำสั่งมีดังนี้:
ใน Ploutus เวอร์ชั่นก่อนหน้า คนร้ายหลักจะต้องเปิดเผยตัวเลขเหล่านี้ให้แก่ขบวนการลักลอบถอนเงิน ซึ่งเปิดโอกาสให้ขบวนการถอนเงินดังกล่าวสามารถฉ้อโกงคนร้ายได้หากทราบรหัสที่ใช้ในการเจาะระบบ แต่ใน Ploutus เวอร์ชั่นนี้ ขบวนการลักลอบถอนเงินไม่เห็นตัวเลข 16 หลัก จึงช่วยให้คนร้ายหลักสามารถควบคุมการถอนเงินสดได้อย่างเบ็ดเสร็จ รหัสที่ว่านี้จะใช้ได้นาน 24 ชั่วโมง
การใช้ข้อความ SMS เพื่อควบคุมเอทีเอ็มในแบบระยะไกลเป็นวิธีที่สะดวกกว่ามากสำหรับทุกฝ่ายที่เกี่ยวข้อง เพราะมีลักษณะต่อเนื่องและทำงานได้เกือบจะในทันที คนร้ายหลักจะทราบอย่างแน่ชัดว่าขบวนการลักลอบถอนเงินจะได้รับเงินเท่าไร และผู้ถอนเงินไม่จำเป็นต้องยืนเตร่อยู่แถวๆ ตู้ ATM เพื่อรอให้เงินสดออกมา คนร้ายและคนหยิบเงินสามารถทำงานประสานกันเพื่อให้เงินออกมาขณะที่คนหยิบเงินกำลังแสร้งทำเป็นกดเงินจากตู้หรือเดินผ่านตู้ ATM
รูปที่ 2. ภาพรวมการโจมตี ATM โดยใช้ Ploutus
ภาพรวมกระบวนการ
- ผู้โจมตีติดตั้ง Ploutus บนเครื่องเอทีเอ็ม และเชื่อมต่อโทรศัพท์มือถือเข้ากับเครื่องโดยใช้สาย USB
- ผู้ควบคุมส่งข้อความเอสเอ็มเอส 2 ข้อความไปยังโทรศัพท์มือถือภายในตู้เอทีเอ็ม
- เอสเอ็มเอสข้อความที่ 1 ต้องประกอบด้วยรหัสเปิดใช้งานที่ถูกต้อง เพื่อเปิดใช้ Ploutus ในเอทีเอ็ม
- เอสเอ็มเอสข้อความที่ 2 ต้องประกอบด้วยคำสั่งจ่ายเงินที่ถูกต้อง เพื่อสั่งให้ปล่อยเงินออกมา
- โทรศัพท์ตรวจพบข้อความเอสเอ็มเอสที่ส่งเข้ามา และส่งต่อไปยังเครื่องเอทีเอ็มในรูปแบบของแพ็คเก็ต TCP หรือ UDP
- ในตู้เอทีเอ็ม โมดูลตัวตรวจสอบแพ็คเก็ตเครือข่ายจะได้รับแพ็คเก็ต TCP/UDP และหากมีคำสั่งที่ถูกต้อง ก็จะเรียกใช้ Ploutus
- Ploutus ทำให้เอทีเอ็มปล่อยเงินสดออกมา จำนวนเงินสดที่ออกมาถูกกำหนดค่าไว้แล้วภายในมัลแวร์
- ขบวนการลักลอบโอนเงินจะหยิบเงินสดจากตู้เอทีเอ็ม
( คลิกที่นีเพื่อชมวีดีโอแสดงการโจมตี โดยใช้ Ploutus )
จะสามารถปกป้องเครื่อง ATM ได้อย่างไร
เครื่องเอทีเอ็มที่ทันสมัยมีฟีเจอร์การรักษาความปลอดภัยที่ปรับปรุงดีขึ้น เช่น ฮาร์ดไดรฟ์ที่เข้ารหัส ซึ่งสามารถป้องกันเทคนิคการติดตั้งแบบนี้ แต่สำหรับเครื่องเอทีเอ็มรุ่นเก่าที่ยังคงรัน Windows XP การป้องกันการโจมตีในลักษณะนี้อาจเป็นเรื่องท้าทายมากกว่า โดยเฉพาะอย่างยิ่งเมื่อตู้เอทีเอ็มถูกติดตั้งไว้ในสถานที่ห่างไกล ปัญหาอีกประการหนึ่งที่จะต้องแก้ไขก็คือ ความปลอดภัยทางกายภาพของคอมพิวเตอร์ภายในตู้ ATM แม้ว่าเงินในตู้ ATM ถูกเก็บไว้ในตู้เซฟ แต่โดยทั่วไปแล้วคอมพิวเตอร์ไม่ได้ถูกเก็บไว้ในตู้เซฟ เนื่องจากเครื่อง ATM รุ่นเก่ามีความปลอดภัยไม่เพียงพอ ดังนั้นผู้โจมตีจึงถือไพ่เหนือกว่า
ทั้งนี้ธนาคารสามารถดำเนินมาตรการบางอย่างเพื่อป้องปรามการก่ออาชญากรรม เช่น:
- อัพเกรดเป็นระบบปฏิบัติการที่รองรับ เช่น Windows 7 หรือ 8
- จัดหาการป้องกันทางกายภาพที่เพียงพอ และติดตั้งกล้องวิดีโอวงจรปิดดูแลตู้ ATM
- ล็อคไบออส (BIOS) เพื่อป้องกันการบูตจากสื่อที่ไม่ได้รับอนุญาต เช่น ซีดีรอม หรือ USB สติ๊ก
- ใช้การเข้ารหัสดิสก์ทั้งหมด เพื่อป้องกันการแก้ไขการตั้งค่าและข้อมูลในดิสก์
- ใช้โซลูชั่นการล็อคระบบ
ในเมื่อรู้ว่า Windows XP กำลังถึงจุดเสี่ยงที่ยากจะยับยั้งแล้วก็ถึงเวลาพิจารณาที่จะเตรียมแผนเร่งอัพเกรด ตู้ ATM ไปสู่ระบบปฏิบัติการใหม่โดยเร็ว