มาเหนือเมฆ! แฮ็คเกอร์ตระเวนสูบเงินจากตู้ ATM ในรัสเซีย แค่ยืนเฉยๆ ตู้ก็คายเงินออกมาให้เอง

เทคโนโลยียิ่งล้ำหน้าเท่าไหร่ แฮ็คเกอร์ก็ยิ่งพัฒนาเล่ห์เหลี่ยมแพรวพราวยิ่งขึ้นเป็นเงาตามตัว ล่าสุดแฮ็คเกอร์รัสเซียปฏิบัติการเหนือเมฆ ตระเวนขโมยเงินจาก ATM 8 ตู้ กวาดเงินเกือบ 1,000,000 ดอลล่าร์ในคืนเดียวก่อนหายเข้ากลีบเมฆไปอย่างไร้ร่องรอย

การแฮ็คตู้ ATM ครั้งนี้แนบเนียนเสียจนกว่าธนาคารจะรู้ตัวก็ปาเข้าไปหลายเดือนแล้ว เพราะเหตุการณ์ดังกล่าวเกิดขึ้นมาตั้งแต่ช่วงปลายปี 2016 หลักฐานที่ปรากฏมีเพียงอย่างเดียวคือภาพจากกล้องวงจรปิดที่แสดงให้เห็นชายคนหนึ่งเดินเข้าไปที่ตู้ ATM และตู้ก็คายธนบัตรเป็นฟ่อนๆ มาให้โดยที่เขาไม่ได้แตะตู้ด้วยซ้ำ ตู้ ATM ถอนธนบัตรออกมาให้เรื่อยๆ ครั้งละ 40 ใบจนหมดกระทั่งหมดตู้ ใช้เวลาราว 20 นาที จากนั้นโจรรายนี้จึงย้ายไปขโมยตู้อื่นต่อ ทุกอย่างง่ายดายราวกับมีเวทมนต์

วิธีการที่โจรคนดังกล่าวใช้ขโมยเงินจากตู้ยังเป็นปริศนา ทางธนาคารไม่พบมัลแวร์ใดๆ บนตู้ ATM และเครือข่ายหลังบ้าน ไม่มีสัญญาณบ่งบอกถึงการบุกรุก แต่พบว่าแฮ็คเกอร์ได้เผลอทิ้งเบาะแสเอาไว้ นั่นคือไฟล์ log จำนวน 2 ไฟล์ที่บันทึกการทำงานทุกอย่างของตู้ ATM ก่อนที่เงินจะหายไป ซึ่งบรรทัดหนึ่งมีข้อความเขียนไว้ว่า "Take the money bitch" หรือแปลเป็นไทยได้ว่า "เอาเงินไปไอ้ลูกหมา"

เรื่องนี้ถูกส่งต่อให้ทาง Kaspersky ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เป็นผู้ตรวจสอบ จากเบาะแสดังกล่าว Kaspersky เชื่อว่าเป็นการโจมตีที่เข้าข่ายยมัลแวร์ "Fireless" ซึ่งเริ่มระบาดหนักในช่วงต้นปีที่ผ่านมา โดยมุ่งโจมตีธนาคารในยุโรปและอเมริกาเป็นหลัก มัลแวร์ Fireless ใช้ประโยชน์จากเครื่องมือที่มีอยู่ในเครื่องเป้าหมาย จึงไม่ต้องติดตั้งมัลแวร์ลงไปโดยตรง หรืออาจให้มัลแวร์ฝังตัวอยู่บนหน่วยความจำ RAM แทน HDD และทันทีที่ปิดเครื่อง มัลแวร์จะหายไปพร้อมกับข้อมูลทุกอย่างใน RAM ไม่หลือร่องรอยใดๆ ให้ติดตาม

ล่าสุดทาง Kaspersky ได้ออกมาแถลงผลการสืบสวน โดยระบุว่าการแฮ็คครั้งนี้แบ่งเป็น 3 ขั้นตอนใหญ่ๆ สองขั้นตอนแรกเป็นการป้อนคำสั่งให้ตู้ ATM ปล่อยธนบัตรในตู้เก็บออกมาพักไว้ในช่องเตรียมจ่าย และขั้นที่สามคือการใช้คำสั่งเปิดฝาช่องรับเงินเพื่อให้ตู้คายธนบัตรออกมา ในขั้นนี้เองที่ข้อความ "Take the money bitch" ในไฟล์ log ปรากฎขึ้น โดยอาจปรากฎบนหน้าจอ ATM ด้วยเพื่อส่งสัญญาณให้ชายในกล้องวงจรปิดหยิบเงิน

จากกรณีนี้ชัดเจนแล้วว่าธนาคารถูกแฮ็คแน่นอน แต่การสืบสวนครั้งนี้ยังไม่จบ นักวิจัยต้องการตัวอย่างมัลแวร์ปริศนาตัวนี้เพื่อไขความลับทุกอย่างที่ยังค้างคาอยู่ ทาง Kaspersky จึงนำประโยค "Take the money bitch" ไปเปรียบเทียบกับไฟล์ในฐานข้อมูลของเว็บไซต์ VirusTotal แหล่งรวมไฟล์ต้องสงสัยที่รวบรวมจาก Antivirus ต่างๆ เอาไว้ โดยใช้เครื่องมือที่เรียกว่า YARA เพื่อหาไฟล์ที่คล้ายกัน และสุดท้ายก็พบว่าไฟล์ log ทั้ง 2 ไฟล์นี้มีต้นตอการอัปโหลดมาจากประเทศรัสเซีย และคาซัคสถาน

หลังจากทราบต้นตอแล้ว ทีมนักวิจัยได้ทำการวิศวกรรมย้อนกลับ (reverse engineering) และสืบสวนต่อในเชิงลึกจนค้นพบว่า แฮ็คเกอร์ได้สร้างอุโมงค์ดิจิทัลขนาดใหญ่ในเครือข่ายของธนาคาร ซึ่งใช้ส่งคำสั่งไปยังตู้ ATM ได้โดยตรง ทำให้แฮ็คเกอร์สามารถควบคุม ATM ได้แบบ real-time และประสานจังหวะกับเพื่อนร่วมแก๊งค์ที่ออกมารับเงินได้อย่างแนบเนียน

เบื้องต้น Kaspersky เชื่อว่าคดีนี้น่าจะเป็นฝีมือของเครือข่ายแก๊งค์แฮ็คเกอร์ธนาคารที่มีชื่อว่า Carbanak แต่ยังไม่มีการยื่นฟ้องดำเนินคดีกับใครในตอนนี้

จากเหตุการณ์ดังกล่าวทำให้เราเห็นว่าอาชญากรรมไซเบอร์ชักจะน่ากลัวขึ้นทุกวัน ขนาดธนาคารที่มีระบบคุ้มกันแน่นหนายังถูกลอบโจมตีแบบไม่เหลือร่องรอย คนธรรมดาๆ อย่างเราก็คงทำได้แค่เพิ่มความระมัดระวังให้มากขึ้นเท่านั้นครับ