ทาง FireEye ซึ่งเป็นบริษัทที่เกี่ยวข้องกับระบบรักษาความปลอดภัยทางด้านเน็ตเวิร์คชื่อดัง ได้เปิดเผยผลจากการวิเคราะห์มัลแวร์ RIPPER (โดยเขาได้ตั้งชื่อเหตุการณ์ในครั้งนี้ว่า “ATMRIPPER”) ซึ่งกำลังเป็นที่จับตามองในปัจจุบันออกมา ซึ่งเรียกได้ว่าไม่ธรรมดาจริง ๆ สำหรับเจ้ามัลแวร์ตัวนี้
ซึ่งเขาก็ได้ทำการ Upload ไฟล์ที่ติดมัลแวร์ตัวอย่างนี้ไปที่เว็บ VirusTotal เพื่อวิเคราะห์ข้อมูลซึ่งเขาก็เชื่อมันว่ามัลแวร์ตัวที่ก่อเหตุในครั้งนี้คือเจ้า RIPPER ตัวนี้ แต่ ณ ปัจจุบันทางธนาคารแห่งประเทศไทยและธนาคารออมสินยังไม่ได้ออกมายืนยันว่าเป็นเจ้ามัลแวร์ตัวนี้แต่อย่างใด
โดยความสามารถของมัลแวร์ตัวนี้คือ หลังจากที่ถูกฝังลงไปในเครื่อง ATM ผ่านช่องทางบางอย่าง (ด้วยวิธีไหน ทาง FireEye ไม่ได้เปิดเผยข้อมูลออกมา) ตัวมัลแวร์จะเข้าไปทำการติดตั้งตัวเองพร้อมจัดการแก้ Registry เพื่อบังคับให้รันตัวมัลแวร์ทุกครั้งหลังจาก Boot เครื่องใหม่ทันที (คล้าย ๆ มัลแวร์ปัจจุบันที่เราเคยเจอ ๆ กันในโปรแกรมฟรีทั้งหลายแหล่) ซึ่งระหว่างนั้นผู้ที่ใช้งานปกติทั่วไปก็จะไม่รู้สึกผิดปกติอะไร แต่เมื่อทางคนร้ายได้นำเอาบัตร ATM รูปแบบใหม่หรือบัตรชิปที่ได้ตั้งค่าเฉพาะเอาไว้มาทำการกดเงิน ตัวเครื่อง ATM ก็จะทำการบังคับตัดสัญญาณอินเทอร์เน็ต พร้อมให้คนร้ายสามารถบังคับถอนเงินได้ทันทีโดยไม่ต้องผ่านกระบวนการตรวจสอบความถูกต้องของบัญชีเงินฝาก (ทำให้ความเสียหายที่เกิดขึ้นจะไม่กระทบกับบุคคลทั่วไปอย่างแน่นอน) พอหลังจากถอนเงินเรียบร้อย คนร้ายก็สามารถสั่งให้ระบบกลับมาทำงานตามปกติได้ ทำให้ตรวจสอบผู้กระทำความผิดได้ยากยิ่งกว่าเดิม
และทาง FireEye ยังได้ระบุเพิ่มเติมว่า มัลแวร์ตัวนี้ยังได้มีการพุ่งเป้าไปที่ตู้ ATM อื่น ๆ นอกเหนือจากของธนาคารออมสินอีกด้วย ซึ่งประเทศไทยก็ถือได้ว่าเป็นประเทศที่เสี่ยงต่อการถูกโจรกรรมผ่านระบบ ATM เป็นอันดับต้น ๆ โดยเฉพาะ OS บน ATM ของเราแทบทุกเครื่องยังคงใช้ระบบปฏิบัติการณ์ Windows XP ที่ทาง Microsoft ได้หยุดให้การสนับสนุนไปแล้ว งานนี้ถือได้ว่าตู้ ATM ในประเทศไทยนั้นตกอยู่ในความเสี่ยงต่อการถูกโจรกรรมเป็นอย่างมากจริง ๆ ครับ
ที่มา: FireEye
ที่มาของภาพ: pixabay
