Автор Тема: Червь подкопался под «Киви»  (Прочитано 3269 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Сергей Горбачевский

  • Administrator
  • Знаменитый писатель
  • *****
  • Сообщений: 84428
  • Пол: Мужской
  • Есть вопросы? Пишите в личку
    • Награды
Червь подкопался под «Киви»
« : 17, Марта 2011, Четверг, 11:50:35 am »
Уязвимость в системе платежных терминалов появилась, возможно, как ответ на передел этого рынка.

Троянские программы, впервые получившие печальную известность на настольных компьютерах, затем без особого труда покорившие мобильные устройства, теперь официально взяли новый барьер. Опасаться хакеров сейчас приходится и при работе с терминалами оплаты услуг, которые за последние годы появились едва ли не каждом углу в крупных городах.

Вредоносный софт, который условно назван Trojan.PWS.OSMP, официально обнаружен в распространенной сети платежных терминалов QIWI, за последние месяцы ставшей лидером на рынке оплаты услуг в Москве и других регионах страны. Правда, информация о нем появилась и распространяется при весьма своеобразных обстоятельствах.

Всё началось с того, что известный разработчик средств информационной безопасности, компания Dr. Web, в своих бюллетенях об обнаруженных вирусах и троянах сообщила о многочисленных разновидностях Trojan.PWS.OSMP, зафиксированных в сетях платежных терминалов. Как сообщили «СП» в компании, Dr. Web не озвучил названия конкретного оператора платежей; однако раскрыть инкогнито зараженной системы было несложно по имени исполняемого файла, поражаемого вирусом – maratl.exe. Оператором системы, в программной оболочке которой есть такой файл, оказалась крупнейшая компания ОСМП, владеющая почти сотней тысяч терминалов под брендом QIWI.

После этого в СМИ появились сообщения об обнаруженной уязвимости уже с указанием на оператора. В новостях расшифровывается опасность, которой подвергаются пользователи этих терминалов: вредоносная программа вмешивается в работу и подменяет номер счета, на который осуществляет платеж пользователь. «Таким образом, деньги попадают напрямую к злоумышленникам», – цитируют СМИ заявления Dr. Web.

В самой компании ОСМП обозревателю «СП» рассказали, что о проблеме знают. «Мы в курсе о появлении данного вируса, но при анализе выяснилось, что его активность крайне низка, - таков официальный ответ владельца QIWI на новость об обнаруженном трояне. – Никаких краж, совершенных таким способом, несанкционированных действий нами так и не обнаружено». Заявления Dr. Web поэтому выглядят весьма странно, - резюмировали в пресс-службе компании.

Как рассказали «СП» представители пресс-службы ОСМП, вирус, по всей вероятности, попал в систему терминалов через служебные интерфейсы – именно с помощью флеш-карт, вставляемых в закрытые для пользователей разъемы, обновляется программное обеспечение терминалов. Была это халатность сотрудников службы поддержки или чья-то диверсия – в ОСМП ответить затруднились.

Основное уязвимое место терминалов, как оказалось – операционная система: аппараты работают на общераспространенной системе Windows. Вкратце механизм трояна таков: первоначально в операционную систему платежного терминала через съемные носители попадает вредоносная программа BackDoor.Pushnik. «Как только флешка подключается к терминалу, – объясняется в сообщении антивирусной компании, – BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию».

Trojan.PWS.OSMP не сразу попадает в систему терминала: первоначально туда через съемные носители, в частности USB Flash Drive, злоумышленниками заносится вредоносная программа BackDoor.Pushnik, рассказал изданию «Газета.Ru» представитель «Доктор веб» Кирилл Леонов. В дальнейшем с её помощью из интернета подгружается троянец. «В отличие от банкоматов, терминалы проводят все свои операции через интернет, оттуда и приходит угроза», – поясняет Леонов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале, и осуществляет поиск процесса maratl.exe. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его «память».

Первая модификация этого трояна появилась в 2009 году, рассказывает Леонов. Подробный функционал работы трояна в «Доктор веб» стали изучать в начале 2011 года, когда увидели, что активность его расширяется и формируется целая бот-сеть, специально организованная для атак на платежные терминалы. «Мы наблюдаем постоянное усовершенствование бот-сети, поиски все новых способов похищения денежных средств из платежных систем», – добавляет Леонов. Последняя известная модификация Trojan.PWS.OSMP появилась в конце февраля 2011 года. Она действует принципиально по иной схеме.

«Вирус крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник»,

– добавляет Леонов. Всего на сегодняшний день в базах антивируса более 10 модификаций троянцев семейства OSMP.

Итак, трояны, предназначенные для ПО платежных терминалов, известны уже не первый год, однако до поры до времени они интересовали, в основном, специалистов по информационной безопасности. Что именно заставило общественников и журналистов сфокусировать внимание на уязвимости этих терминалов именно сейчас? Возможно, ответ на этот вопрос лежит не в технической, а в коммерческой плоскости.

Дело в том, что именно компания ОСМП с ее брендом QIWI за последние несколько месяцев резко активизировала свою деятельность – по крайней мере, в Москве. Еще год или полтора назад «Киви» была лишь одной из нескольких крупных сетей, наряду с конкурентами – «Элекснет», «Киберплат» и некоторыми другими. Сейчас ситуация коренным образом изменилась – QIWI уверенно лидирует как по числу точек, так и по объемам проводимых платежей.

Сегодня оператор-лидер может позволить себе даже проводить особую политику по отношению к некоторым сервисам. Так, например, существенно затруднено обслуживание системы «Яндекс-деньги» и городской телефонии МГТС – эксперты объясняют это тем, что QIWI заинтересована в развитии собственной системы «Кошелька».

В этом контексте появление в новостях сообщений о троянских программах в этой системе терминалов (насколько велика угроза – толком пока неизвестно) вполне может означать очередной этап корпоративной войны кого-либо из конкурентов QIWI. Впрочем, тот факт, что надежность этого вида оплаты услуг – дело достаточно виртуальное, к сожалению, неоспорим. Любой электронный платеж, так или иначе, сопряжен с риском.


Теги: