Набитый деньгами банкомат – лакомый кусочек для преступников, которые используют весьма изощренные методы, чтобы добраться до его содержимого. В этой истории с банком из топ-50 специалистам-безопасникам удалось разобраться досконально. Но злоумышленник до сих пор на свободе.
Переполох у банкомата
В СМИ все чаще упоминаются инциденты, связанные с информационной и экономической безопасностью в финансовом секторе. Например, чуть ли не каждую неделю злодеи или просто отчаявшиеся люди предпринимают незаконные манипуляции с банкоматами. В основном грабители действовали грубо – банкоматы вывозили, взрывали, взламывали, раскурочивали слесарными инструментами. Но были отмечены и случаи применения высоких технологий.
Вот одна из таких историй. В один прекрасный день сотрудники некоего банка (входит в топ-50 российских банков) выявили при инкассации его банкомата нехватку денежных средств. Размер недостачи был сопоставим с суммой закладываемой в банкомат денежной наличности, то есть оказался довольно значительным. Сотрудники не поверили своим глазам и актам выгрузки из банкомата, «скинули» недостачу на невыясненные обстоятельства и решили разобраться со счетчиками позже. Об этом происшествии они не поставили в известность ни службу экономической безопасности, ни отдел информационной безопасности. В банкомат снова загрузили денежные средства, а на следующий день он опять оказался пустым.
То же самое обнаружилось во время инкассаций в нескольких других офисах банка, территориально распределенных по регионам страны, – всего около десяти случаев на общую сумму около 10 млн рублей. При этом во время инкассаций проводился визуальный осмотр, но каких-либо физических повреждений ни на одном из банкоматов выявлено не было.
Службы экономической, физической и информационной безопасности банка начали тщательно отрабатывать произошедшие инциденты. Среди выдвинутых версий были как внешние атаки, так и инсайдерство. Меры принимались сразу в нескольких направлениях. Было необходимо пресечь продолжение серии атак, провести расследование и собрать информацию для подачи заявлений о возникновении страховых случаев в страховую компанию, а также подать заявление в правоохранительные органы и наладить взаимодействие с ними.
Было решено безотлагательно провести инкассацию всех банкоматов банка (в первую очередь тех, которые, по данным мониторинга, попали в «зону риска»), чтобы подтвердить или опровергнуть факт мошеннических действий. В ряде регионов по согласованию с руководством было намечено снизить лимиты загрузки, в других – полностью разынкассировать банкоматы. Были временно закрыты для доступа 24-часовые зоны, в срочном порядке на банкоматах менялись пароли локальных администраторов и удаленных подключений.
Правда, несколько региональных управляющих все же решили банкоматы не трогать, аргументировав это тем, что паника населения для банка опаснее. В неспокойный кризисный год, когда банки закрываются один за другим, не работающие во всем регионе банкоматы станут поводом для слухов и черного пиара. Риск «обрушения» филиала банка из-за паники населения, подогреваемой слухами о скором отзыве его лицензии, выше, чем опасность прямой потери денег.
Люди в вязаных шапочках…
Во время просмотра первой же записи с камер видеонаблюдения выяснилось, что банкомат выдавал деньги практически добровольно и большими пачками. Человек в надвинутой на лоб шапке с прижатым к уху телефоном подходил к банкомату, но не дотрагивался ни до его корпуса, ни до ПИН-пада. В это время банкомат начинал выдавать деньги, которые человек с телефоном складывал в спортивную сумку. Сам он выглядел как лицо неопределенной национальности среднего возраста и роста – словом, без особых примет.
Примерно такая же картина была получена сотрудниками служб безопасности и правоохранительных органов по другим эпизодам. Различия состояли лишь во времени реализации инцидентов (где-то они произошли в районе полуночи, где-то – ближе к 4–5 часам утра) и в количестве злоумышленников (от одного до нескольких человек, раз в 15–20 минут сменявших друг друга). Каждая процедура изъятия денежной наличности занимала от часа до трех.
Одновременно шла работа в других направлениях. Были сняты образы с пострадавших банкоматов, и их исследованиями занялась служба информационной безопасности банка. Группа расследования запрашивала и уточняла данные по скомпрометированным банкоматам – марки, модели, места установки, IP-адреса. Кроме того, поднимались журналы системы мониторинга состояния банкоматов, лог-файлы сетевого взаимодействия.
Исследование снятых с банкоматов образов показало, что все лог-файлы на банкоматах были затерты. Но не полностью. Обнаруженные остатки утилиты, предназначенной для затирания данных и, соответственно, следов преступления, а также заполнение файловой системы «мусором», показали, что отработала эта утилита почему-то не до конца – данные удалось частично восстановить.
Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций – тестирование работоспособности механизма выдачи денежных средств. Запускается она только в случае, когда банкомат находится в тестовом режиме, а створки сейфа должны быть открыты.
В результате анализа выяснилось, что подобная утилита, но несколько модифицированная, не только находилась на жестком диске банкомата, но и запускалась в работу. Предположительно модификация этой утилиты заключалась в снятии ограничений запуска.
...и люди в вязаных свитерах
Главный вопрос состоял в том, как эта утилита попала на банкомат. Выяснить это оказалось невозможно – лог-файлы заходов на банкомат и других действий были затерты без возможности восстановления. Пришлось зайти с другой стороны – удалось выяснить, на каких рабочих станциях банка находились данная утилита, ее модифицированная версия и ряд других файлов, следы запуска которых на банкоматах удалось восстановить.
Стандартные версии утилиты KDiag обнаружились на ряде компьютеров, работающие на которых сотрудники были связаны с обслуживанием банкоматов. А полный набор разыскиваемых файлов (точнее, следов их нахождения на съемном носителе, который подключался к этому компьютеру) нашелся лишь на одном из компьютеров. По номеру ПК был установлен его владелец – сотрудник, занимающийся обслуживанием банкоматов и имеющий доступ ко всему их парку, в том числе удаленный доступ посредством использования программы RAdmin.
Теперь предстояло выяснить, было ли это инсайдерством или красивой атакой извне. Больше всего сомнений касалось того, что, по собранной из логов информации, необходимые утилиты перекачивались именно с подключенного съемного носителя. Другими словами, человек должен был подойти к компьютеру, находящемуся в пределах контролируемого периметра со СКУДами (системы контроля и управления доступом. – Прим. ред.) и системой видеонаблюдения, и подключить к нему съемный носитель.
При таком раскладе концепция внешней атаки казалась маловероятной. А с учетом методов и средств, используемых при таргетированых атаках, реализация физического доступа к ПК выглядела уж совсем невероятной, прямо-таки архаичной. Ведь разместить нужные злоумышленнику средства на ПК можно было, например, при помощи удаленного управления.
На совещании рабочей группы, занимающейся расследованием инцидентов, обсуждался вопрос «брать и колоть подозреваемого или подождать и понаблюдать?». Было принято решение все-таки не торопиться, с помощью специальных автоматизированных средств мониторинга понаблюдать за рабочей станцией, попытаться собрать иные свидетельства и доказательства, а при возникновении малейшей на то необходимости или подтверждения подозрений перейти к более решительным действиям.
Группа провела технологические работы для организации дополнительного мониторинга: были установлены программные средства мониторинга, снят образ с рабочей станции подозреваемого в инсайдерстве сотрудника, а рядом с его рабочим местом установили дополнительные средства видеонаблюдения. Все работы проводились в выходной день в режиме строгой секретности.
Результаты мониторинга показали, что подозреваемый сотрудник является весьма продвинутым пользователем: он создавал на своем ПК виртуальные машины, интересовался составом и характеристиками ряда вредоносных программ, за время наблюдения (чуть больше недели) несколько раз отключал и «сносил» систему мониторинга, процессы которой в операционной системе были замаскированы. И эти сведения совершенно не совпадали с отзывом о данном сотруднике, полученным от его руководителя, который охарактеризовал его примерно так: «Да он бывший кондуктор и в компьютерах разбирается не очень хорошо. Мы его взяли только для того, чтобы он чековые ленты в банкоматах менял».
Через пару недель собранная во время внутреннего расследования информация, в том числе данные мониторинга, все необходимые акты, лог-файлы из систем сбора событий, результаты технического анализа образов банкоматов и ПК, была передана с соответствующими комментариями правоохранительным органам, ведущим расследование группы инцидентов. Они обещали взять подозреваемого сотрудника «в оборот». Еще дней через десять банк уволил сотрудника «по соглашению сторон» в рамках плановой оптимизации, направленной на сокращение расходов.
Тем временем расследование, вроде бы начатое правоохранительными органами, затихло. Банк подавал заявления в разных регионах страны. В некоторых из них правоохранительные органы сразу приступали к активным действиям, в других служба безопасности сталкивалась с их категорическим нежеланием открывать уголовное дело (это аргументировалось тем, что отсутствует состав преступления). В первое время от следователей еще поступали какие-то звонки, уточнения и запросы к членам рабочей группы, но постепенно все сошло на нет. Видимых результатов нет до сих пор.
Разбор полетов
По завершении расследования банк сделал некоторые выводы и принял меры, позволяющие впредь не допускать подобных инцидентов, инициированных как извне, так и изнутри. Немаловажным было то, что эти меры не потребовали каких-либо дополнительных затрат.
Обязательное наличие в банке всех инструкций, регламентов и четкость их выполнения. Нехватка суммы, составляющей больше 1 млн рублей, при проведении инкассации – это событие, о котором в любом случае необходимо уведомлять службы безопасности и руководство. В описанном случае это сделано не было, поскольку рядовые сотрудники не получили таких инструкций, не знали, что предпринять, и понадеялись на русский авось.
Способы подключения к банкоматам. Схемы подключения были пересмотрены. Запрещен прямой доступ к банкоматам, убраны все средства удаленного администрирования, оставлены только штатные средства удаленного рабочего стола.
Аудит и настройка систем безопасности на банкоматах. До возникновения на рынке похожих инцидентов банкоматы, как правило, защищали только физически – усиливали сейфовые замки, прикручивали сами устройства анкерными болтами к полу и стенам, устанавливали системы видеонаблюдения, внедряли процедуры проверки на наличие скиммингового оборудования и т. п. Теперь появилась необходимость в усилении программно-аппаратной части. Были проведены дополнительные настройки штатных брандмауэров на банкоматах, подключены средства контроля над целостностью, изменена схема сетевого взаимодействия банкоматов, усилены средства мониторинга.
Начать дискуссию