Malware

Malware ปั่นป่วนอัตราแลกเปลี่ยนเงินรูเบิล ของรัสเซีย

ในศุกร์วันหนึ่ง เวลาพักกลางวัน ณ ธนาคารรัสเซียยื่นมีคำสั่งซื้อธนบัตรมูลค่ากว่า 500 ล้านเหรียญสหรัฐ บนระบบซื้อขายออนไลน์ ด้วยคำสั่งซื้อนี้ทำให้มูลค่าเงิน ruble-dollar ของรัสเซียผันผวนระหว่าง 55 ถึง 66 เหรียญต่อดอลล่าร์สหรัฐ เพราะปริมาณการซื้อที่มากผิดปกติ ในขณะที่ธนาคาร Energobank กำลังประสบกับภาวะขาดทุน แต่เหตุการณ์นี้ไม่ได้เกิดจากความผิดพลาดของนักลงทุน แต่เป็นมัลแวร์

ทั้งหมดนี้เกิดขึ้นในปี 2015 แต่เราตีพิมพ์เฉพาะหัวข้อข้อเมื่อเร็ววันนี้ ซึ่งเป็นเพราะความล่าช้าของทีมสอบสวนของทาง Energobank ธนาคารกลางประเทศรัสเซีย การแลกเปลี่ยนของมอสโค และตำรวจ ทาง Energobank จ้าง IB Group ที่ปรึกษาด้านความปลอดภัยของ ESET และอีกหลายบริษัทที่เกี่ยวกับความปลอดภัย เพื่อช่วยกันสอบสวนเหตุการณ์ที่เกิดขึ้น

The Corkow malware

มัลแวร์ที่ใช้ในการโจมตีระบบแลกเปลี่ยนของ Energobank คือ Corkow ที่ทาง ESET จับมาทดสอบตั้งแต่ปี 2011 นักเขียนบล็อกเกี่ยวกับความปลอดภัย คุณ Graham Cluley เขียนอธิบายคร่าวๆเกี่ยวกับโทรจันตัวนี้ ในขณะที่ คุณ Robert Lipovsky จาก ESET ส่งการวิเคราะห์เชิงเทคนิคของ Corkow มาให้เรา

ถึงแม้ว่า Corkow จะไม่ได้เป็นที่รู้จักเท่าไหร่นัก แต่มันก็เป็นโทรจันที่ปั่นป่วนการธนาคารได้ดีชนิดหนึ่ง และด้วยสาเหตุนี้มันจึงไม่เป็นที่รู้จักเท่าไหร่นัก เพราะมันเลือกโจมตีเฉพาะธนาคารและสถาบันการเงิน เหมือนกับที่ Hesperbot โจมตีเฉพาะร้านขายปลีก

โครงสร้างของ Corkow สามารถใช้งานร่วมกับโปรแกรมเสริมได้หลากหลาย และถูกออกแบบมาเพื่อเจาะระบบธนาคารและการซื้อขายโดยเฉพาะ

คุณ Anton Cherepanov ให้ความเห็นว่า “อีกจุดเด่นของ Corkow คือความสามารถในการหลบการตรวจจับและซ่อนตัวอยู่ในไฟล์ระบบในรูปแบบ DLL ไฟล์”

การโจมตีระบบการซื้อขาย

จากผลการตรวจสอบ มัลแวร์ได้เข้าไปในระบบของธนาคารในเดือนกันยายน ปี 2014 โดยเริ่มจากการเข้าไปในคอมพิวเตอร์ของระบบเครื่องหนึ่ง หลักจากนั้นอาชญากรรวบรวมเอกสารรับรองและข้อมูลอื่นๆที่พวกเขาต้องการจนกระทั่งพวกเขาสามารถเปิด-ปิดระบบซื้อขายของตัวเองได้ และเข้าควบคุมระบบรูปแบบเดียวกับธนาคาร

อาชญากรทำการซื้อขายเงินดอลล่าร์สหรัฐ ทั้งๆที่ไม่ได้ดำเนินการเต็มรูปแบบ มีคำสั่งซื้อกว่า 160 ล้าน และมากกว่า 90 ล้านเหรียญสหรัฐ ถูกขายออกไป

อัตราแลกเปลี่ยนระหว่าง Ruble-Dollar ของรัสเซียกับ Dollar สหรัฐมีความผันผวนสูงมากเนื่องจากการซื้อขายที่ไม่สอดคล้องกับตลาด ความผันผวนทำให้ราคาซื้อดอลล่าร์สหรัฐเท่ากับ 59.07 RUB/USD และราคาขาย 63.35 RUB/USD เป็นขอบเขตความผันผวนที่สมเหตุสมผล แต่อย่างไรก็ตาม ปริมาณการซื้อขายก็ยังไม่มากพอให้ผู้ฉวยโอกาสสามารถกอบโกยเงินก้อนใหญ่จากปฏิบัติการครั้งนี้ได้

คุณ Cherepanov อธิบายว่า ระยะเวลาการโจมตีกินเวลา 14 นาที และ “ในทันทีหลังจากการโจมตีสิ้นสุดลง” มัลแวร์ได้รับคำสั่งให้ล้างตัวเองออกจากระบบ และลบประวัติการใช้งานออกไปด้วย

ผลลัพธ์

การโจมตีระบบการซื้อขายของธนาคาร Energobank นับว่าประสบความสำเร็จ เพราะอาชญากรนั้นสามารถควบคุมกลไกการซื้อขายและทำการซื้อขายได้ตามที่พวกเขาต้องการ แต่ด้วยข้อมูลที่เรามีอยู่ อาชญากรไม่ได้เงินโดยตรงจากการปฏิบัติการนี้แต่อย่างใด

คุณ Cherepanov บอกว่า “มีไม่กี่ทางที่อาชญากรเหล่านี้จะใช้ประโยชน์จากสิ่งที่พวกเขาทำ”

ความเป็นไปได้ข้อที่หนึ่ง พวกเราเดินหน้าต่อ อาชญากรรู้ถึงสภาพตลาดในอนาคตและใช้ประโยชน์โดยการทำสัญญาซื้อขายล่วงหน้า หรือมีบุคคลที่สามที่เกี่ยวข้องและฉกฉวยผลประโยชน์

“หรือบางทีนี่อาจจะเป็นแค่การนำร่อง เพราะตอนนี้อาชญากรรู้ถึงวิธีควมคุมตลาดและกำลังวางแผนการโจมตีครั้งต่อไป” คุณ Cherepanov กล่าวสรุป

%d bloggers like this: