Статья

Хакеры атаковали американскую сеть быстрого питания

Embedded

В США произошла утечка данных держателей банковских карт, которые расплачивались через зараженные терминалы в магазинах Zaxby`s. Подобные инциденты случаются все чаще. Злоумышленники используют уязвимости в системах embedded, защита которых не столь совершенна, как в традиционных ОС.

В январе 2013 г. американская сеть питания Zaxby`s сообщила о том, что были скомпрометированы конфиденциальные данные ее клиентов, которые расплачивались за заказы пластиковыми картами. К такому выводу пришли специалисты собственной службы безопасности в результате внутреннего расследования. По их данным, в 109 из 560 ресторанов платежные терминалы оказались заражены вредоносным кодом, которые открывал злоумышленникам доступ к данным по кредитным и дебетовым картам.

Поводом для расследования стало сообщение одного из крупных американских банков, специалисты которого обнаружили, что ряд банковских карт, по которым наблюдается подозрительная активность, регулярно используются в заведениях Zaxby`s. «Файлы, обнаруженные в результате расследования, оказались вредоносным ПО, которое было разработано для сбора и передачи данных по кредитных и дебетовым картам. Пока не совсем понятно, как это ПО было установлено в системе, но маловероятно, что они распространялись через общую сеть передачи данных», – заявила представитель Zaxby`s Дебби Андрюс (Debbie Andrews).

Как вирус проник на POS-терминал

Возможно, злоумышленники использовали специальные карты, которые при контакте с платежным терминалом заносят вирус в сиcтему. «Совсем недавно исследователи по безопасности продемонстрировали атаку на POS-устройство, при которой на специальную карту, выглядящую как банковская карточка, записывался программный код, который считывался POS-устройством, вызывал ошибку в программном обеспечении аппарата и в результате на устройство незаметно для кассира устанавливался вредоносный код, – рассказал CNews Александр Бондаренко, директор по развитию компании Leta. - Понятно, что такая карточка не позволит злоумышленнику провести оплату, но ведь всегда можно извиниться и достать другую, настоящую карточку, а кассир не обратит внимание на то, что первая карточка не сработала. У кого не было такого, что платеж не проходил. В результате зараженный POS-терминал вел запись данных всех последующих покупателей, которые оплачивали свои покупки с помощью зараженного POS-устройства».

Аналитик Gartner Эвива Литан (Avivah Litan), напротив, считает, что сетевая атака могла произойти. По ее словам, мишенью хакеров могла стать система авторизации карт. Кроме того, они могли атаковать не сами терминалы POS, а используемую параллельно компьютерную сеть, в которой могли храниться временные файлы с конфиденциальной информацией.

Zaxby`s не сообщает число пострадавших клиентов. Следует отметить, что в подобных ситуациях дело не всегда доходит до перевода средств на счета мошенников со скомпрометированных банковских аккаунтов. При этом сообщения об инфицировании банкоматов и платежных терминалов (POS, Point-of-Sale) появляются все чаще. Например, в октябре 2012 г. мошенники смогли похитить данные о банковских картах клиентов книжной сети Barnes & Noble. А в мае 2011 г. стало известно о том, что карт-ридеры в магазинах Michaels Stores были заражены вредоносным ПО. Тогда злоумышленники обналичивали средства со скомпрометированных аккаунтов небольшими суммами до $500 с помощью банкоматов.

Российская практика

Одним из наиболее громких инцидентов в российской практике относится к 2009 г. когда производитель банкоматов Diebold выпустил патч для устранения уязвимости, обнаруженной в линейке ATM-устройств Opteva. Одновременно вышло предупреждение о наличии вредоносного кода, который, используя данную уязвимость, заразил неназванное количество устройств.

Оценить количество подобных происшествий сложно из-за специфики законодательства. «Подобные инциденты периодически случаются и в России, – говорит Александр Бондаренко. – Убежден, что очень немногие из них в реальности становятся достоянием общественности, так как это серьезно бьет по репутации банка, подвергшегося атаке. А так как у нас законодательно не установлено обязательство по информированию соответствующих органов о произошедших инцидентах и отсутствует какая бы то ни было ответственность за сокрытие информации о выявленных инцидентах, то большинство организаций предпочитает такого рода проблемы не раскрывать».

В банкоматах и POS-устройствах используются операционные системы класса embedded, которые представляют собой «урезанные» версии Linux или Windows, адаптированные под ограниченные аппаратные возможности такого оборудования. Железо накладывает свои ограничения и на работу систем защиты. Как правило, они сводятся к «фиксации» конфигурации, а также мониторингу и информированию о внесении изменений. Кроме того, банкоматы и POS-устройства часто объединяют в сеть для организации централизованного наблюдения, что облегчает работу служб ИТ.

Однако в российском офисе Microsoft уверяют, что новая версия Windows Embedded для банкоматов и POS обладает тем же арсеналом защиты, что и основная версия «восьмерки». «Кроме того, поскольку Windows Embedded 8 Industry разработана для устройств самообслуживания и других видов «самостоятельных» устройств, в ней присутствуют специализированные функции, такие как: фильтры защиты от записи, позволяющие работать приложениям и ОС без использования жесткого диска, функции Secured Boot, Measured Boot (загрузка только проверенных образов ОС), Keyboard Filter, обеспечивающий защиту устройств со встроенной клавиатурой».

Большое значение имеет сертификация оборудования под международные стандарты. «Если устройства обрабатывают данные платежных карт, они подпадают под требования стандарта безопасности данных индустрии платежных карт (PCI DSS). Кроме того, под требования другого стандарта – PA DSS – попадает прикладное программное обеспечение этих устройств, – рассказывает Евгений Афонин, начальник отдела безопасности банковских систем компании “Информзащита”. – Встроенная ОС не является причиной исключения самого устройства и ПО, которое на нем установлено, из области действия этих стандартов».

«В значительной мере безопасность операций по картам зависит от мер защиты, которые должны применять магазины, сервис-провайдеры, участвующие в обработке карточных транзакций, производители POS, банкоматов, программного обеспечения и, собственно, банки, – заключает Евгений Афонин. – Именно поэтому международные платежные системы Visa, Master Card, American Express, Discover, JCB International предъявляют к ним требование соответствовать международному стандарту безопасности PCI DSS. Как правило, ответственность за соответствие PCI DSS обычных и интернет-магазинов, сервис-провайдеров несут банки-эквайеры».

Павел Лебедев/CNews Analytics

Смотреть вебинар »