Вирус для терминала

В России на минувшей неделе разразился крупный скандал после того, как компания "Доктор Веб" сообщила о вирусе, поражающем файлы терминалов мгновенной оплаты QIWI. Как выяснилось, кибермошенники при помощи вируса перенаправляли клиентские платежи на свои счета. Более того, они могли просто создать псевдотерминал на своем компьютере.

Под ударом оказался крупнейший в России оператор платежных терминалов - ОСМП ("Объединенная система моментальных платежей"). Именно ему принадлежит бренд QIWI - платежная система для оплаты различных услуг, в том числе доступа в Интернет, жилищно-коммунальных услуг, мобильной связи, web-контента, процентов по кредитам и т.д. Всего с помощью платежного сервиса QIWI можно совершать платежи в пользу более чем 1600 компаний - операторов различных услуг. Помимо России, QIWI работает на рынках еще 15 стран, включая Украину, Казахстан, Болгарию, Румынию, Китай, Малайзию и ЮАР. Системе принадлежит более двухсот тысяч платежных терминалов.

И вот специалисты компании "Доктор Веб" обнаружили троянскую программу, специально созданную для похищения денежных средств из терминалов QIWI. Речь идет о троянце Trojan.PWS.OSMP, который подменяет номер счета, на который осуществляют платежи пользователи терминалов. Вирус поражает исполняемый файл maratl.exe. В результате деньги отправляются напрямую злоумышленникам.

Вообще-то профессиональная этика требует в таких случаях уведомить пострадавшую компанию и не обнародовать информацию до решения проблемы. Однако в "Доктор Веб", видимо, не могли упустить такого шикарного случая для собственного PR - и опубликовали пресс-релиз.

В нем, в частности, говорится, что терминалы, зараженные вирусом, работают под управлением Windows. Для установки Trojan.PWS.OSMP требуется, чтобы злоумышленники получили доступ к USB-порту терминала и чтобы работал автозапуск файлов с флэшки. Причем Trojan.PWS.OSMP не сразу попадает в систему терминала: первоначально туда через съемные носители, в частности, USB Flash Drive, злоумышленниками заносится вредоносная программа BackDoor.Pushnik. И уже в дальнейшем с ее помощью из Интернета подгружается троянец. "В отличие от банкоматов, терминалы проводят все свои операции через Интернет, оттуда и приходит угроза", - поясняют специалисты "Доктор Веб". Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале, в поисках процесса maratl.exe. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его параметры.

В компании ОСМП нахлынувшим журналистам сообщили, что знают о появлении данного вируса, но "при анализе было выявлено, что его активность крайне низка". "Никаких краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них. Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации", - заявила представитель компании QIWI Александра Высочкина. "В настоящее время наличие зараженных терминалов не зафиксировано", - добавили позднее представители компании.

Между тем, "Доктор Веб" публикует все больше информации о зловреде Trojan.PWS.OSMP. Оказывается, его первая модификация появилась еще в 2009 году. Но только в конце 2010 - начале 2011 года специалисты по вирусам увидели, что его активность растет и формируется ботнет, специально организованный для атак на платежные терминалы. Последняя известная модификация Trojan.PWS.OSMP появилась в конце февраля нынешнего года.

Причем она действует по уже принципиально иной схеме. "Вирус крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном ПК и направлять деньги на собственный счет в электронной форме, минуя купюроприемник", - рассказывают в "Доктор Веб".

Александр Писемский, замдиректора компании Group-IB, занимающейся расследованием компьютерных преступлений, рассказал в интервью изданию "Газета.Ru": "Вредоносное ПО, созданное для банкоматов или платежных терминалов, представляет высокий уровень опасности. Факт его попадания в операционную систему через подключенный к терминалу внешний USB-накопитель указывает на то, что у преступников были сообщники среди обслуживающего персонала, так как получить доступ к управлению аппаратом может только авторизованное лицо, у которого есть специальные ключи и навыки отключения системы оповещения. Как показывает практика реагирования на IТ-инциденты, случаи таких заражений не имеют массового характера, т.к. круг подозреваемых весьма ограничен, и компетентным органам достаточно просто выявить нарушителей. Компьютерные криминалисты могут с точностью до минут определить, когда терминал был заражен. Далее достаточно просто установить, кто в этот момент обслуживал аппарат и имел к нему доступ".

Впрочем, большинство таких терминалов устанавливаются через субподрядчиков, так что владелец может даже не знать о проблемах в каком-то регионе. По мнению экспертов, скорее всего, злоумышленник просто купил б/у аппарат с установленным софтом. Разобрал, понял, как устроен замок, какая система там используется. После чего написал троян специально под эту систему и установил его на ряд терминалов.

У читателей может возникнуть вопрос: почему я столько внимания уделяю проблемам российской платежной системы? Ну, во-первых, в ближайших планах ОСМП - выход на белорусский рынок. Во-вторых, платежные терминалы и так получают все большее распространение в нашей стране. Так что нам лучше заранее знать, с какими неприятностями мы можем столкнуться.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

11 за 2011 год

Рубрика: 

С миру по байту
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!