Храните ваши денежки
Троян Skimer, поражающий банкоматы производства компании Diebold (о нем «КТ» писала в прошлом номере), наделал много шума, заставив людей с опаской относиться к привычной процедуре снятия денег с собственного счета. Показательно, что сами банки, которые в таких случаях обычно пытаются до последнего держать глухую оборону и скрывать проблему, подтвердили, что вирус действительно был. Например, это признали «Петрокоммерц» и «Росбанк».
Из сотен банкоматов, которые стоят на балансе этих банков, скомпрометированными оказались лишь пять. Ни один клиент не пострадал, опасность была быстро локализована и убита еще в зародыше. Впрочем, следует оговориться, что эта информация исходит от представителей самих банков. Есть ли в России или за рубежом другие пострадавшие организации, доподлинно неизвестно, хотя иногда — со ссылкой на «Доктора Веба», первую российскую антивирусную компанию, раструбившую об опасности на родных просторах, — упоминались и прочие названия.
Обратились к первоисточнику и мы. Но то ли потому, что не все банки решились на подтверждение информации о заражении, то ли из соображений этики, возведенной в абсолют, представитель «Доктора Веба» не захотел назвать ни банки, ни производителя банкоматов. Хотя он-то как раз всем известен. По словам Сергея Комарова, руководителя отдела антивирусных разработок и исследований «Доктора Веба», троян появился прошлой осенью. В компанию он попал через систему онлайн-сканера, а в Интернете оказался, вероятно, в ходе разбирательств, последовавших вслед за обнаружением вируса в одном из банков. Комаров допускает, что этому поспособствовал и сам автор вредоносной программы. Он также считает, что при написании трояна не обошлось без использования инсайдерской информации, поскольку при создании кода явно использовались служебные библиотеки фирмы-производителя. Особенность новой напасти в том, что ранее вредоносные программы для банкоматов пытались лишь вывести инфицированное устройство из строя, a Skimer создан для похищения денег или информации о счетах клиентов. «В частности, в этом трояне есть функция detach cassette, — объясняет Комаров. — Мы не специалисты, но возможно, она позволяет физически вскрыть банкомат и достать из него всю наличность». По информации «Доктора Веба», главная цель вредоносной программы — сбор информации о карточках людей, воспользовавшихся зараженным устройством. Забрать данные злоумышленник может, только если у него есть сервисный доступ к данному банкомату, для чего нужна специальная карта и знание сервисных кодов. Комаров не смог точно указать, где именно окопался инсайдер — в самой ли компании-производителе, в банке или в сервисной фирме, обслуживающей банкоматы. «Есть косвенное указание на то, что автор родом из Восточной Европы, — сказал Комаров. — Дело в том, что вирус может оперировать с долларами, рублями и украинскими гривнами». В антивирусной компании полагают, что Skimer — первая ласточка, и велика вероятность, что троян послужит основой (или стимулом) для создания других вредоносных программ с аналогичными функциями.
Шкурный интерес антивирусных компаний понятен: не исключено, что банки бросятся к специалистам искать дополнительной защиты, а дальше остается только стричь купоны. Дабы соблюсти паритет мнений, мы обратились непосредственно в Diebold. Вот история с вирусом в их изложении.
Компания узнала об обнаружении трояна в одном из банкоматов. Это побудило провести масштабное тестирование, в результате которого выявили несколько случаев заражения, о чем клиенты Diebold были незамедлительно проинформированы. Сведения о том, что вредоносная программа специализируется на работе с долларами, евро, рублями и гривнами, не соответствуют действительности.
По информации, которую «КТ» получила из источника пусть и неофициального, но хорошо знакомого с ситуацией, Diebold на основании исследований, проведенных внутри компании, еще в январе подготовила и разослала своим банкам-клиентам, включая иностранные, исчерпывающую инструкцию о том, как обезопасить себя от трояна. Кроме того, в Москве был проведен семинар по этой проблеме. Из того же источника мы узнали, что утечка информации, по всей видимости, произошла, когда сотрудник некого зарубежного банка слил публичное письмо, разосланное Diebold (в самой компании это отказались прокомментировать). Письмо всплыло в одном из иностранных блогов, после чего Skimer попал в антивирусные компании, которые и предали инцидент широкой огласке. По словам руководителя маркетингового направления Diebold в России Олеси Карповой, троян не способен распространяться самостоятельно. Чтобы заразить банкомат, нужно получить доступ к внутреннему оборудованию, то есть сделать это, не вскрывая устройство, невозможно. Кроме того, необходимо знать секретные данные, без которых нельзя получить доступ к системе. Может показаться, что злоумышленнику было бы логичнее обчистить банкомат, раз уж он получил доступ к его «кишкам». Но не все так просто. «Кассеты с купюрами, — поясняет Карпова, — расположены в специальном сейфе, и для того, чтобы получить к ним физический доступ, необходимо либо знать комбинацию замка, либо вооружаться автогеном».