infowatch (infowatch) wrote,
infowatch
infowatch

Categories:

Как можно незаметно потрошить банкоматы - часть 2.

Начало этой прекрасной истории мы публиковали тут.



Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций  – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.


...В результате анализа выяснилось, что подобная утилита, но несколько модифицированная, не только находилась на жестком диске банкомата, но и запускалась в работу. Предположительно, модификация этой утилиты заключалась в снятии того самого ограничения, связанного с обязательным нахождением банкомата в тестовом режиме для осуществления ее запуска.

Возник справедливый вопрос: как данная утилита попала на банкомат? Выяснить это оказалось невозможно – лог-файлы заходов на банкомат и других действий были затерты без возможности восстановления. Пошли другим путем: решено было выяснить, на каких рабочих станциях банка находились данная утилита, ее модифицированная версия и ряд других файлов, следы запуска которых на банкоматах удалось восстановить. Стандартные версии утилиты KDiag обнаружились на ряде ПК, работающие на которых сотрудники были связаны с обслуживанием банкоматов. А полный набор разыскиваемых файлов (точнее, следов их нахождения на съемном носителе, который подключался к этому компьютеру) нашелся лишь на одном ПК. По номеру ПК был установлен его владелец – сотрудник, занимающийся обслуживанием банкоматов и имеющий доступ ко всему их парку, в том числе удаленный доступ посредством использования программы RAdmin.

Снова перед рабочей группой по расследованию инцидента встал вопрос – с чем столкнулись, с инсайдерством либо красивой атакой извне? Больше всего сомнений было связано с тем, что, по собранной из логов информации, необходимые утилиты перекачивались именно с подключенного съемного носителя. Другими словами, человек должен был подойти к компьютеру, находящемуся в пределах контролируемого периметра со СКУДами и системой видеонаблюдения, и подключить к нему съемный носитель. При таком раскладе концепция внешней атаки казалась маловероятной. А с учетом методов и средств, используемых при таргетированых атаках, реализация физического доступа к ПК выглядела уж совсем невероятной, прямо-таки архаичной, ведь разместить нужные злоумышленнику средства на ПК можно было, например, при помощи удаленного управления.  Может быть, ошибка в логах? Вопрос – скорее, риторический, но на него все-таки хотелось получить ответ.

На совещании рабочей группы, занимающейся расследованием инцидентов, был поднят животрепещущий вопрос «брать и колоть подозреваемого или подождать и понаблюдать?». Было принято решение все-таки не торопиться, с помощью специальных автоматизированных средств мониторинга понаблюдать за рабочей станцией, попытаться собрать иные свидетельства и доказательства, а при возникновении малейшей на то необходимости или подтверждения подозрений перейти к более решительным действиям. Группа провела технологические работы для организации дополнительного мониторинга: были установлены программные средства мониторинга, снят образ с рабочей станции подозреваемого в инсайдерстве сотрудника, а рядом с его рабочим местом установили дополнительные средства видеонаблюдения. Все работы проводились в выходной день в режиме строгой секретности.

Результаты мониторинга показали, что подозреваемый  сотрудник является весьма продвинутым пользователем: он создавал на своем ПК виртуальные машины, интересовался составом и характеристиками ряда вредоносных программ, за время наблюдения (а это – чуть больше недели) несколько раз отключал и «сносил» систему мониторинга, процессы которой в операционной системе были замаскированы, и пр. И эти сведения совершенно не совпадали с отзывом о данном сотруднике, полученным от его руководителя, который охарактеризовал его примерно так: «Да он – бывший кондуктор и в компьютерах разбирается не очень хорошо. Мы его взяли только для того, чтобы он чековые ленты в банкоматах менял».

Через пару недель собранная во время внутреннего расследования информация, в том числе данные мониторинга, все необходимые акты, лог-файлы из систем сбора событий, результаты технического анализа образов банкоматов и ПК, была передана с соответствующими комментариями правоохранительным органам, ведущим расследование группы инцидентов. Они обещали взять подозреваемого сотрудника «в оборот». Еще дней через десять банк уволил сотрудника «по соглашению сторон» в рамках плановой оптимизации, направленной на сокращение расходов.

А расследование, вроде бы, начатое правоохранительными органами, затихло. Банк подавал заявления в разных регионах страны. В некоторых из них правоохранительные органы сразу приступали к активным действиям, в других служба безопасности сталкивалась с их категорическим нежеланием открывать уголовное дело (это  аргументировалось тем, что отсутствует состав преступления). В первое время от следователей еще поступали какие-то звонки, уточнения и запросы к членам рабочей группы, но постепенно все сошло на нет. И каких-либо результатов нет до сих пор.

А ведь внутреннее расследование было проведено при участии высококлассных профессионалов, специализирующихся на инцидентах такого рода, материалы этого расследования четко указывали на виновность конкретного человека, были собраны и предъявлены все доказательства. Если сотрудники банка ошиблись, то в чем? А если не ошиблись, почему дальнейшее расследование «ушло в тину»? Хочется верить, что ответы на эти вопросы все-таки будут получены.

Разбор полетов

Уже постфактум банк сделал некоторые выводы и предпринял меры, позволяющие впредь не допускать подобных инцидентов – безразлично, инициированных извне или изнутри. Немаловажным было то, что эти меры не потребовали каких-либо дополнительных затрат.

Обязательное наличие в банке всех инструкций, регламентов и четкость их выполнения. Нехватка суммы, составляющей больше 1 млн руб., при проведении инкассации – это событие, о котором в любом случае необходимо уведомлять службы безопасности и руководство.  В описанном случае это сделано не было, поскольку рядовые сотрудники не получили таких инструкций, не знали, что предпринять, и понадеялись на «русский авось».

Способы подключения к банкоматам. Схемы подключения были пересмотрены. Запрещен прямой доступ к банкоматам, убраны все средства удаленного администрирования и оставлены только штатные средства удаленного рабочего стола.

Аудит и настройка систем безопасности на банкоматах. До возникновения на рынке похожих инцидентов банкоматы, как правило, защищали только физически – усиливали сейфовые замки, прикручивали сами устройства анкерными болтами к полу и стенам, устанавливали системы видеонаблюдения, внедряли процедуры проверки на наличие скиммингового оборудования и т.п. Теперь появилась необходимость в усилении программно-аппаратной части. Были проведены дополнительные настройки штатных брандмауэров на банкоматах, подключены средства контроля над целостностью, изменена схема сетевого взаимодействия банкоматов, усилены средства мониторинга.

Итак, подытожим. Если в какой-либо области прежде никогда не было инцидентов, приводящих к значительному ущербу, то это не означает, что так будет всегда. В мире меняется все, причем довольно быстро. Дабы поспевать за изменениями и всегда быть в тренде по уровню защищенности, надо считать риски и не забывать, что для снижения вероятности возникновения инцидентов далеко не всегда обязательны дорогостоящие, в том числе многолетние проекты – порой достаточно точечных мер.

Tags: банковская тайна, безопасность, инсайдер, криминалистика, мошенничество, расследование, угрозы, хакеры
Subscribe

  • Поверьте машинам – это выгодно

    Беспилотные автомобили, созданные Google, за шесть лет прошли более 2,7 миллиона километров. По статистике компании, за все время…

  • Технологии на службе у кадровика

    Новостные ленты взорвало сообщение о сотруднице Sberbank CIB, которой удалось отсудить у своей бывшей компании 4,6 млн долл. в качестве компенсации…

  • Конец истории

    Все государства в бешеном темпе внедряют биометрическую идентификацию. Возможно, со стороны это внедрение кажется неспешным. Но масштабная…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments