ไซแมนเทคตรวจพบไวรัสที่มุ่งเน้นโจมตีสถาบันการเงินมากกว่า 2 เท่า ของจำนวนไวรัสประเภทเรียกค่าไถ่

          โดย: ดร. รัฐิติ์พงษ์ พุทธเจริญ หัวหน้าฝ่ายวิศวกรระบบ ประจำประเทศไทย กัมพูชา พม่า และลาว บริษัท ไซแมนเทค

          เราพบว่า ในช่วงที่ผ่านมา ภัยคุกคามที่มุ่งเน้นโจมตีสถาบันการเงิน มีแนวโน้มเติบโตขึ้นอย่างรวดเร็วและมั่นคง โดยกลุ่มผู้ไม่ประสงค์ดี และสามารถทำกำไรได้เป็นจำนวนมากจากการโจมตีดังกล่าว โดยเฉพาะอย่างยิ่งไวรัสประเภทโทรจัน ที่มีเป้าหมายโจมตีไปยังบริการธนาคารออนไลน์, ตู้เอทีเอ็ม และเครือข่ายโอนเงินระหว่างธนาคาร โดยใช้รูปแบบการโจมตีที่หลากหลาย
          ตามที่เราได้พยากรณ์ไว้ในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน5 เราพบว่ามีการโจมตีที่มุ่งเน้นมาทางบริษัทขนาดใหญ่ และสถาบันการเงินมากขึ้น ในระหว่างปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 แม้ว่าปีนี้จะยังไม่พบหลักฐานการโจมตีขนาดใหญ่ แต่ในช่วงปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 ที่ผ่านมา เราพบหลักฐานถึงการโจมตีไปยังเป้าหมายที่มีมูลค่าสูง โดยเฉพาะอย่างยิ่ง การโจมตีไปยังระบบ Worldwide Interbank Financial Telecommunication หรือระบบ SWIFT ที่ใช้การโอนเงินของธนาคารระหว่างประเทศ ของหลายสถาบันการเงิน คิดเป็นมูลค่าความเสียหาย หลายล้านดอลล่าร์สหรัฐ โดยกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลบางประเทศ เช่นกลุ่ม Lazarus เราพบว่า พบว่า ตู้เอทีเอ็ม8% ของการโจมตีในช่วงปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 ต่อกลุ่มสถาบันการเงิน เป็นการโจมตีไปยังกลุ่มธุรกิจการเงินขนาดใหญ่
          โดยกลุ่มคนร้ายส่วนใหญ่ เลือกใช้วิธีการโจมตีผ่านอีเมล์แคมเปญไปยังกลุ่มเป้าหมายแบบสุ่มในวงกว้าง โดยไม่ได้เจาะจงเป้าหมายใดเป็นพิเศษ ถึงแม้ว่าอัตราการโจมตีกลุ่มสถาบันการเงิน ที่ตรวจพบในช่วงปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 จะลดลง ตู้เอทีเอ็ม6% แต่สาเหตุมาจากการที่ การโจมตีถูกตรวจพบตั้งแต่ช่วงเริ่มต้นจำนวนหนึ่ง และการที่กลุ่มคนร้ายเลือกทำการโจมตีแบบมุ่งหวังผลต่อกลุ่มเป้าหมายที่เลือกไว้
          ในจำนวนการโจมตีที่ตรวจพบ สถาบันการเงิน.ธนาคารออนไลน์ ล้านครั้งในปีที่ผ่านมา พบว่าเป็นการโจมตีนี้มุ่งเน้นที่กลุ่มสถาบันการเงินเป็นจำนวนมากกว่าการโจมตีประเภทเรียกค่าไถ่ ถึง ธนาคารออนไลน์.5 เท่า ตัวอย่างเช่น เราตรวจพบการโจมตีของโทรจัน Ramnit (Wตู้เอทีเอ็มธนาคารออนไลน์.Ramnit) ที่ใช้โจมตีสถาบันทางการเงิน เพียงตัวเดียว เป็นจำนวนเท่ากับการโจมตีของไวรัสประเภทเรียกค่าไถ่ทั้งหมดรวมกัน โดยกลุ่มของโทรจันส่วนใหญ่ที่มุ่งเน้นโจมตีกลุ่มสถาบันการเงิน ที่ตรวจพบ มักจะอยู่ในสามตระกูลนี้คือ Ramnit, Bebloh (Trojan.Bebloh), และ Zeus (Trojan.Zbot) ซึ่งการโจมตีจากทั้งสามตระกูลนี้ คิดเป็น 86% ของการโจมตีกลุ่มสถาบันการเงินในช่วงปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 ทั้งหมด อย่างไรก็ตาม จากการจับกุมกลุ่มคนร้าย การเข้าทำลายระบบควบคุมการโจมตีของเจ้าหน้าที่ และการเปลี่ยนแปลงโยกย้ายกลุ่มของเหล่าคนร้าย ทำให้มีการเปลี่ยนแปลงขนาดใหญ่ขึ้นในช่วงปีที่ผ่านมา ตัวอย่างเช่น การโจมตีของ Bebloh ได้หายไปในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน7 หลังการ เข้าทำลายเครือข่ายระบบควบคุม Avalanche แม้ว่าเราจะยังตรวจพบโทรจันที่ถูกดัดแปลงเวอร์ชั่นใหม่ จากตระกูลเหล่านี้บ้าง แต่ก็เป็นการโจมตีขนาดย่อย เฉพาะกิจเท่านั้น โดยคนร้ายใช้วิธีการส่งเมล์ที่ถูกปลอมแปลง (scam) และแนบไฟล์โทรจันดัดแปลงเหล่านี้ไปโดยตรง ไม่ได้มีลูกเล่นใดๆ ตัวอย่างเช่น มีการตรวจพบตัวอย่างของ Bebloh เพียงตัวเดียว จากแคมเปญการโจมตีจำนวน 55,รัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญ ครั้งในช่วงปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6
          ในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 ประเทศญี่ปุ่นคือ กลุ่มเป้าหมายหลักของโทรจัน Bebloh และ Snifula (Trojan.Snifula) คิดเป็นจำนวนถึง 9รัฐิติ์พงษ์ พุทธเจริญ% ของกิจกรรมทั้งหมดของโทรจันในกลุ่มนี้ และยังไม่มีความแน่ชัดว่าเหตุใดคนร้ายกลุ่มนี้จึงเปลี่ยนเป้าหมายหลักของตนเอง แต่มีเครื่องบ่งชี้ว่าพวกเขาได้ใช้เครือข่ายทรัพยากรร่วมกัน ในการโจมตีเป้าหมายที่คล้ายคลึงกันในประเทศญี่ปุ่น อย่างไรก็ตาม จากรายงานพบว่า เป้าหมายใหญ่สุดระดับโลกของการโจมตี ที่ถูกตรวจพบโดยไซแมนเทค ยังคงเป็นสถาบันทางการเงิน ของประเทศสหรัฐอเมริกา ตามมาด้วยประเทศโปแลนด์ และประเทศญี่ปุ่นตามลำดับ
          วิธีการโจมตีของโทรจันที่มุ่งเน้นโจมตีสถาบันทางการเงิน ยังไม่มีการเปลี่ยนแปลงมากนัก และคล้ายคลึงกับโทรจันทั่วไป โดยวิธีการแพร่กระจายส่วนใหญ่ยังคงเป็นสแปมเมล์ ที่แนบไฟล์นกต่อ (dropper) ที่ใช้ดาวน์โหลดโทรจันตัวจริงเอาไว้ และการโจมตีผ่านชุดเครื่องมือโจมตีช่องโหว่ทางเว็บ (web exploit toolkits) โดยวิธีการโจมตีที่แพร่หลายที่สุด ในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 เป็นการโจมตีโดยอีเมล์ที่ถูกปลอมแปลง โดยอาจใช้ไฟล์แนบ Microsoft Office ที่ฝังมาโครไวรัสเอาไว้, อย่างไรก็ตามการฝังไฟล์แนบประเภท Microsoft Virtual Basic Scripting (VBS) หรือ Javascript (JS) ก็ถูกใช้ในการโจมตีในวงกว้างเช่นเดียวกัน นอกจากนั้นเรายังพบการโจมตีโดยใช้ไฟล์ Microsoft Office ที่ไม่ใช้วิธีฝังมาโคร แต่ใช้วิธีฝังวัตถุ OLE object เอาไว้ แล้วเขียนวิธีหลอกให้ผู้ใช้งาน ดับเบิ้ลคลิกเพื่อเรียกให้ไวรัสทำงาน ตัวอย่างเช่น Necurs botnet (Backdoor.Necurs) ซึ่งถูกส่งแพร่กระจายไปมากกว่า สถาบันการเงิน.8 ล้านครั้งภายในวันเดียวกัน ของปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 ใช้วิธีการแนบไฟล์ JS script downloader ซึ่งเป็นหนึ่งในตัวอย่างแคมเปญการโจมตีที่เป็นที่น่าจับตามอง 
          ฟิชชิ่งเมล์เป็นอีกตัวอย่างหนึ่งของการโจมตี ที่หลอกให้ผู้ใช้งาน เข้าใจว่าถูกส่งจากบริการที่พวกเขาใช้งานอยู่ และเปิดเผยรายละเอียดส่วนตัวของตนกับผู้โจมตี จากรายงานพบว่าในช่วงปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 มีการโจมตีในรูปแบบ ฟิชชิ่งเมล์เพิ่มขึ้นอย่างมาก โดยจะพบได้จากในอัตราส่วน สถาบันการเงิน ใน ตู้เอทีเอ็ม,รัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญ ของอีเมล์ที่เราได้รับ แต่ในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน7 รายงานการโจมตีแบบฟิชชิ่ง ลดลงมาอยู่ที่อัตราส่วน สถาบันการเงิน ใน 9,สถาบันการเงินตู้เอทีเอ็ม8 ของอีเมล์ที่เราได้รับ เนื่องจากในปัจจุบัน บรรดาสถาบันทางการเงินเริ่มมีการปรับตัวมาใช้ระบบ ยืนยันตัวตนแบบสองชั้นมากขึ้น (ธนาคารออนไลน์ factor authentication) ไม่ได้ใช้รหัสผ่านธรรมดาเพียงอย่างเดียว ทำให้ฟิชชิ่งเมล์ที่หลอกเอารหัสผ่านแบบธรรมดาไม่ค่อยได้ผลต่อการโจมตีระบบของสถาบันทางการเงิน อย่างไรก็ตามสำหรับระบบซื้อขายออนไลน์ส่วนใหญ่ยังคงมีจุดอ่อน ต่อการโจมตีประเภทนี้ ซึ่งเป้าหมายเป็นได้ทั้งรายละเอียดส่วนตัว และเลขบัตรเครดิต
          จากรายงานในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน6 การโจมตีต่อระบบตู้เอทีเอ็ม และระบบ point of sales (POS) ก็เป็นอีกพื้นที่หนึ่งที่มีการโจมตีเพิ่มขึ้น โดยเฉพาะอย่างยิ่ง ไวรัสที่มุ่งเน้นโจมตีระบบเอทีเอ็มที่มีประวัติยาวนานกว่า สถาบันการเงินรัฐิติ์พงษ์ พุทธเจริญ ปี และยังคงอยู่ ซึ่งการโจมตีที่มุ่งเน้นเป้าหมายสถาบันการเงิน เราตรวจพบการโจมตีระบบเอทีเอ็มจากเครือข่ายภายในของสถาบันการเงินเอง โดยกลุ่มตระกูลโทรจันเอทีเอ็ม และ POS ที่มีชื่อเสียงได้แก่ Ploutus (Backdoor.Ploutus), Flokibot, Trojan.Skimer, FastPOS (Infostealer.Fastpos), Infostealer.Poslit, Infostealer.Donpos, Infostealer.Jackpos, Infostealer.Scanpos, และ Backdoor.Pralice นับตั้งแต่มีการอัพเกรดระบบมาใช้บัตรเอทีเอ็มในรูปแบบ Chip & Pin ทั่วทั้งโลก พบว่า การโจมตีในรูปแบบเก่าอย่างการขโมยอ่านข้อมูลจากแถบแม่เหล็กลดลง เนื่องจากเป็นการโจมตีที่ไม่มีประสิทธิภาพอีกต่อไป เมื่อมองมาที่การโจมตีระบบเอทีเอ็ม เราตรวจพบการโจมตีที่ทวีความซับซ้อนและหลากหลายมากขึ้น ในบางครั้งคนร้ายต้องการการเข้าถึงโดยตรงที่หน้าเครื่องเอทีเอ็ม โดยการขโมย หรือทำลายกุญแจเพื่อเปิดฝาครอบตู้ส่วนเครื่องด้านบน 
          ตัวอย่างเช่นการโจมตีของ Plotus เมื่อคนร้ายสามารถเข้าถึงพอร์ตเชื่อมต่อ USB หรือ เครื่องอ่านซีดีรอม คนร้ายก็จะสามารถติดตั้งไวรัส และเชื่อมต่อ keyboard เข้ากับระบบเพื่อสั่งงาน, มีอีกตัวอย่างการโจมตีที่คล้ายๆ กัน คือคนร้ายสามารถเข้าถึงพอร์ต USB ด้านหลังของเครื่องคอมพิวเตอร์ที่ใช้ในการ check-in ของทางโรงแรม เพื่อทำการติดตั้งไวรัส หรือเหตุการณ์ที่คนร้ายสามารถติดตั้งระบบ sniffer เพื่อขโมยข้อมูล จากพอร์ต LAN ที่ว่างอยู่ภายในร้านค้าปลีก ซึ่งทำให้คนร้ายสามารถอ่านข้อมูลของบัตรเครดิตที่ไหลผ่านในเครือข่ายได้ การโจมตีด้วยการเข้าถึงโดยตรงที่หน้าเครื่องเอทีเอ็ม ยังเป็นไปได้อีกหลายรูปแบบ ดังตัวอย่างที่มีรายงานเข้ามาในปี ธนาคารออนไลน์รัฐิติ์พงษ์ พุทธเจริญสถาบันการเงิน7 คนร้ายทำการเจาะรูที่ตู้ เพื่อเชื่อมสายเข้าถึงระบบเชื่อมต่อภายใน และฝังไมโครชิฟราคาถูกแบบง่ายๆ ที่สามารถส่งคำสั่งให้ตู้ทำการปล่อยเงินออกมา 
          เรายังค้นพบแนวโน้มรูปแบบการโจมตีของไวรัส ที่พยายามหลบซ่อนตัวเอง รวมทั้งการเปลี่ยนเส้นทางการโจมตี เพื่อหลีกเลี่ยงจากการตรวจสอบของผู้เชี่ยวชาญ และในบางครั้งคนร้ายถึงขนาด ลงทุนเลียนแบบการล็อคอินของพนักงานทั่วไปของระบบ เพื่อสั่งการโอนเงินจำนวนมากโดยตรง หากตรวจพบระบบโอนเงินของสถาบันการเงินที่น่าสนใจ เพื่อหลีกเลี่ยงระบบตรวจจับภายในระบบเครือข่ายการโจมตีของไวรัสบนมือถือแอนดรอยในปัจจุบันเอง ก็มีรูปแบบการโจมตีที่น่าสนใจ โดยพยายาม สร้างหน้าจอเลียนแบบ และซ้อนทับโปรแกรมของสถาบันการเงิน เมื่อตรวจพบขั้นตอนการโอนเงิน เพื่อเปลี่ยนเส้นทางให้ผู้ใช้งานทำการโอนเงินให้คนร้ายแทน หรือสร้างโปรแกรมเลียนแบบโปรแกรมตัวจริงของสถาบันการเงิน แล้วหลอกให้ผู้ใช้งานดาวน์โหลดไปใช้ เราตรวจพบมากกว่า สถาบันการเงิน7รัฐิติ์พงษ์ พุทธเจริญ โปรแกรม ที่ถูกเจาะจงโจมตีโดยไวรัสเหล่านี้ ทั้งนี้สงครามในด้านมือถือยังคงดำเนินต่อไป ทางสถาบันการเงินเอง ก็พยายามปรับใช้ระบบยืนยันตัวตนแบบสองชั้นกันมากขึ้น เพื่อลดความเสี่ยง รวมทั้งทางแอนดรอยเองก็มีการพัฒนาระบบปฏิบัติการเพิ่มเติม เพื่อให้การโจมตีทำได้ยากขึ้น ทางคนร้ายเองก็มีการเปลี่ยนกลับมาใช้วิธีพื้นฐาน อย่างการหลอกลวงผู้ใช้งานโดยตรง เพื่อให้อนุญาตให้คนร้ายทำการโอนเงินได้สำเร็จ ซึ่งจะเห็นได้ว่าแม้ระบบจะรัดกุมเพียงใด จุดอ่อนที่สุดก็คือผู้ใช้งานในระบบนั่นเอง แม้ว่าจะอัพเกรดระบบมาใช้เทคโนโลยีล่าสุด แข็งแกร่งที่สุด ก็ยังพ่ายแพ้ต่อการหลอกลวง ต่อผู้ใช้งานของระบบโดยตรง
          ทั้งนี้ หากคนร้ายสามารถเข้าถึงเครือข่ายภายในได้สำเร็จ ส่วนมากคนร้ายจะพยายามเสาะหาบัญชีผู้ใช้อื่นๆ เพิ่มเติม เพื่อให้การโจมตีมีประสิทธิภาพสูงสุด ได้ผลกำไรมากที่สุดเท่าที่เป็นไปได้ เช่น คนร้ายอาจจะขโมยบัญชีผู้ใช้ของระบบธนาคารออนไลน์, รายละเอียดข้อมูลส่วนตัว หรือรหัสผ่านของระบบอื่นๆ ที่เรามักจะเก็บไว้ภายในเครื่อง ที่คนร้ายเจาะได้สำเร็จและเมื่อคนร้ายเจาะระบบได้สำเร็จ พวกเขาสามารถนำข้อมูลที่ขโมยมาใช้ในการแพร่กระจายไวรัสในระบบเพิ่มเติม หรืออาจจะนำข้อมูลเหล่านั้น มาขายในเครือข่ายเว็บใต้ดินของพวกคนร้าย โดยเฉพาะอย่างยิ่ง รหัสบัตรเครดิต มักจะเป็นสินค้ายอดนิยมอันดับหนึ่งในเว็บใต้ดิน ในขณะที่บัญชีผู้ใช้ระบบออนไลน์ของลูกค้าธนาคาร จะมีมูลค่าขึ้นอยู่กับเงินในบัญชีที่มีอยู่ ตัวอย่างเช่น ถ้าบัญชีมีเงิน สถาบันการเงินรัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญ ดอลล่าร์สหรัฐ จะสามารถขายได้ราวๆ สถาบันการเงินรัฐิติ์พงษ์ พุทธเจริญ ดอลล่าร์สหรัฐสถาบันการเงิน ถ้าหากมีเงินมากกว่านี้ ก็จะสามารถขายได้แพงกว่านี้เป็นต้น คนร้ายไม่ได้เจาะจงเฉพาะลูกค้าของธนาคารเท่านั้น สถาบันการเงินเองก็ตกเป็นเป้าหมายด้วยเช่นกัน ตัวอย่างเช่น การพยายามฉ้อโกงสั่งโอนเงินจำนวนมากผ่านระบบโอนเงินระหว่างธนาคาร โดยไม่ได้รับอนุญาต ดังนั้นสถาบันการเงินเองต้องรับศึกทั้งสองด้าน คือทั้งการโจมตีไปยังลูกค้าของสถาบันเอง และการโจมตีมายังเครือข่ายของสถาบันโดยตรง
          ทั้งนี้หากถูกเจาะระบบได้สำเร็จ ทางบริษัทที่โดน คงไม่ได้สูญเสียเพียงแค่เกี่ยวกับเรื่องเงินทองเท่านั้น หากแต่ชื่อเสียงที่สั่งสมมา ต้องถูกทำลายไป รวมไปถึงความเชื่อมั่นของลูกค้าอีกด้วย ซึ่งอย่างหลังนี่เอง ที่ต้องใช้เวลา และความเพียรพยายามเป็นอย่างมากในการสร้างขึ้นมา ต้องถูกทำลายไปในคราวเดียวกัน เราคาดหวังว่า ปัญหาการโจมตีสถาบันการเงิน จะเหลือแต่ปัญหาระดับผู้ใช้งานเท่านั้นในอนาคต แต่ดูแนวโน้มแล้วพบว่า ทางคนร้ายเองยังคงมุ่งเน้นโจมตีมายังเครือข่ายของสถาบันการเงินเพิ่มมากขึ้น และพยายามใช้กระบวนการหลอกลวง, ปลอมแปลงตัวบุคคล เพื่อหลอกลวง เจ้าหน้าที่ของสถาบันการเงินอีกด้วย ระบบการป้องกันต่างๆ จึงเป็นสิ่งจำเป็น แม้ว่าจะไม่สามารถป้องกันได้ สถาบันการเงินรัฐิติ์พงษ์ พุทธเจริญรัฐิติ์พงษ์ พุทธเจริญ% อย่างน้อยก็ช่วยลดพื้นที่ในการโจมตีของคนร้ายลง ตัวอย่างเช่น การโจมตีผ่านทางอีเมล์ และเว็บไซต์ที่ฝังไวรัส เป็นการโจมตีพื้นฐานของคนร้าย ดังนั้นหากเราวางระบบป้องกันความปลอดภัยที่เชื่อถือได้ เพื่อป้องกันสาเหตุดังกล่าว ก็จะช่วยลดปัญหาการโจมตีลงได้เป็นอย่างมาก การสร้างระบบป้องกันความปลอดภัยแบบหลายชั้น จะช่วยลดความเสี่ยงจากการโจมตีได้เป็นอย่างดี 
          ทางไซแมนเทคเองก็มีกลยุทธ์ในการป้องกันภัยคุกคาม, ไวรัส รวมทั้งไวรัสที่มุ่งเน้นโจมตีสถาบันการเงิน โดยแบ่งเป็นสามขั้นตอน คือ
          - การป้องกัน: หยุดการโจมตี ตั้งแต่ขั้นตอนการพยายามบุกรุก, การพยายามแพร่เชื้อ และป้องกันความเสียหายที่อาจจะเกิดขึ้น
          - การจำกัดความเสียหาย: หยุดยั้งการแพร่ระบาดของไวรัส จำกัดขอบเขตของความเสียหาย กรณีที่การโจมตีประสบความสำเร็จ
          - การตอบสนอง: มีกระบวนการในการตอบสนองต่อเหตุการณ์ที่เกิดขึ้น เรียนรู้การโจมตี และยกระดับการป้องกัน