กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Phineas Phisher ได้โพสต์รายละเอียดขั้นตอนวิธีที่ใช้ในการเจาะระบบของธนาคารแห่งชาติหมู่เกาะเคย์แมน (Cayman National Isle of Man Bank) โดยเป็นเหตุการณ์ที่เกิดขึ้นเมื่อปี 2016 มูลค่าความเสียหายรวมกว่าหลายแสนปอนด์ ก่อนหน้านี้ทางธนาคารไม่ได้ออกมาให้ข้อมูลรายละเอียดของเหตุการณ์นี้โดยตรง แต่ก็มีเอกสารที่เป็นรายงานผลการตรวจวิเคราะห์การโจมตีหลุดออกมา เว็บไซต์ CSO Online ได้วิเคราะห์โพสต์ของกลุ่มแฮกเกอร์ Phineas Phisher (โพสต์ต้นฉบับเป็นภาษาสเปน) ร่วมกับข้อมูลจากรายงานผลการวิเคราะห์ที่หลุดออกมาก่อนหน้านี้ แล้วสรุปเป็นกรณีศึกษา ซึ่งมีประโยชน์สำหรับผู้ที่สนใจการวางแผนรับมือการโจมตี
ในรายงานการตรวจวิเคราะห์ ทางผู้วิเคราะห์พบว่าการเจาะระบบในครั้งนั้นเริ่มต้นจากการจดโดเมนที่สะกดชื่อให้ใกล้เคียงกับโดเมนที่มีการใช้งานจริง จากนั้นใช้โดเมนดังกล่าวส่งอีเมลฟิชชิ่งไปยังเจ้าหน้าที่ของธนาคารโดยหลอกว่าเป็นเอกสารแจ้งเปลี่ยนราคาซื้อขายพร้อมกับแนบไฟล์โปรแกรมมัลแวร์ชื่อ Adwind หลังจากเจ้าหน้าที่ธนาคารเผลอเปิดไฟล์แนบ มัลแวร์ก็ถูกเรียกขึ้นมาทำงานและส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายภายในของธนาคารได้ อย่างไรก็ตาม ทางกลุ่มแฮกเกอร์ปฏิเสธว่าไม่ได้โจมตีผ่านช่องทางดังกล่าว โดยอ้างว่าสามารถเข้าถึงระบบภายในของธนาคารได้ผ่านการโจมตีช่องโหว่ของบริการ VPN ซึ่งทางกลุ่มแฮกเกอร์คาดว่าอีเมลฟิชชิ่งฉบับนั้นน่าจะเป็นการโจมตีจากกลุ่มอื่นหรือบุคคลอื่นที่ลงมือในช่วงเวลาใกล้เคียงกันมากกว่า
ถึงแม้การเจาะระบบภายในของธนาคารจะสำเร็จไปตั้งแต่ช่วงเดือนสิงหาคม 2015 แต่การลงมือขโมยเงินจริงๆ เกิดขึ้นในเดือนมกราคม 2016 โดยระหว่างนั้นทางกลุ่ม Phineas Phisher ได้ใช้เวลาในการศึกษาระบบเครือข่ายภายในของธนาคาร ติดตั้งเครื่องมือช่วยอำนวยความสะดวกในการเจาะระบบ ติดตามพฤติกรรมของเจ้าหน้าที่ธนาคารเพื่อศึกษาขั้นตอนการโอนเงินผ่านระบบ SWIFT รวมถึงศึกษาเอกสารต่างๆ ที่เกี่ยวข้องกับการโอนเงินเพื่อให้การขโมยเงินนั้นแนบเนียนที่สุด การโจมตีในครั้งนั้นทางกลุ่ม Phineas Phisher สามารถโอนเงินสำเร็จได้หลายครั้ง รวมมูลค่าความเสียหายหลายแสนปอนด์ อย่างไรก็ตาม คำสั่งโอนเงินบางรายการใส่รหัส SWIFT ไม่ถูกต้อง ทำให้ทางธนาคารสังเกตความผิดปกติได้ในที่สุด
หลังจากที่ทางธนาคารพบข้อมูลการโอนเงินแบบผิดปกติผ่านระบบ SWIFT ก็ได้เชิญบริษัทภายนอกเข้ามาช่วยตรวจวิเคราะห์ ซึ่งผลการตรวจสอบก็พบไฟล์ที่ถูกใช้เป็นช่องทางลับในการเชื่อมต่อเข้ามาควบคุมจากภายนอก (ใช้ Meterpreter ร่วมกับ Powershell Empire) หลังจากตรวจสอบและลบไฟล์ดังกล่าวออกจากเครื่องคอมพิวเตอร์ที่เกี่ยวข้อง รวมถึงบล็อค IP ของผู้โจมตี ทางทีมวิเคราะห์ยังได้ติดตั้งเครื่องมือสำหรับใช้เฝ้าระวังการเชื่อมต่อผ่านเครือข่ายเพื่อช่วยตรวจสอบความผิดปกติหลังจากนี้ด้วย อย่างไรก็ตาม ทางกลุ่ม Phineas Phisher อ้างว่าทีมวิเคราะห์ยังตรวจไม่พบช่องทางสำรองที่ใช้ในการเข้าถึงระบบ ทำให้สามารถเรียกใช้งานโปรแกรม Mimikatz เพื่อขโมยรหัสผ่านใหม่ออกมาได้และยังสามารถเข้าถึงอีเมลที่เจ้าหน้าที่ธนาคารใช้ในการติดต่อสื่อสารกับทีมวิเคราะห์ได้ด้วย ทำให้ผู้โจมตียังสามารถติดตามสถานการณ์รวมถึงได้ไฟล์รายงานผลการวิเคราะห์ที่ส่งไปยังอีเมลดังกล่าวด้วย
กรณีศึกษานี้มีข้อมูลหลายอย่างที่เป็นประโยชน์สำหรับผู้ที่ปฏิบัติงานด้านการป้องกันหรือวิเคราะห์การเจาะระบบ เนื่องจากไม่บ่อยนักที่จะมีรายงานผลวิเคราะห์และข้อมูลรายละเอียดเพิ่มเติมจากฝั่งผู้โจมตีออกมาควบคู่กัน รายละเอียดอื่นๆ เพิ่มเติมสามารถศึกษาได้จากที่มา อย่างไรก็ตาม ข้อมูลรายละเอียดด้านเทคนิคสามารถใช้เป็นข้อมูลเบื้องต้นได้ แต่การอ้างอิงข้อมูลอื่นๆ อาจต้องพิจารณาความน่าเชื่อถือประกอบด้วย เนื่องจากแหล่งที่มานั้นไม่ใช่ข้อมูลเปิดเผยและไม่ได้เผยแพร่ผ่านช่องทางที่เป็นทางการ
————————————————-
ที่มา : ThaiCERT / 20 พฤศจิกายน 2562
Link : https://www.thaicert.or.th/newsbite/2019-11-20-01.html?fbclid=IwAR2tuHJBshKTQDtjQNBzQ0IKDESKtUpmxgbvybQAYNpnSV0zreV7qElnyWA#2019-11-20-01