Весьма вероятно, что распространению трояна, который поражает платежные терминалы, помогла уязвимость в программном обеспечении популярной модели камеры видеонаблюдения. Если это действительно так, ситуация парадоксальна: магазины становились жертвой преступников как раз потому, что пытались от них защититься.
Троян Backoff был обнаружен в конце 2013 года. Он внедряется в компьютерные системы, которые используют для приема банковских карт, после чего записывает нажатия клавиш и прочесывает оперативную память в поисках полезной для злоумышленников информации. Именно с этим трояном связывают серию утечек, которая захлестнула крупные розничные сети в США пару лет назад.
Ротем Кернер, специалист по безопасности из компании RSA Security, обратил внимание на то, что у многих компьютеров, пораженных Backoff, на портах 81, 82 и 8000 запущен небольшой веб-сервер. Недолгие изыскания показали, что этот веб-сервер служит для доступа к камере видеонаблюдения, которую выпускает китайская фирма TVT.
Одного запроса к Shodan оказалось достаточно для того, чтобы подтвердить худшие подозрения Кернера. Поисковик выдал ссылки на более чем 30 тысяч камер такого типа, к которым можно подключиться через интернет без ведома владельцев. В действительности их число, скорее всего, еще выше.
Кернер без особого труда нашел уязвимость в софте камеры. При обработке запроса ее веб-сервер без проверки вставляет фрагмент адреса страницы в командную строку. Один правильно сформированный URL — и камера исполнит любую команду.
В результате злоумышленник одним ударом убивает двух зайцев. Просматривая открытые камеры видеонаблюдения, он может выбрать перспективную жертву — магазин с платежным терминалом, уязвимым для Backoff. Затем та же камера даст ему доступ к локальной сети — и готово. «Вот настоящий материал для Голливуда!» — шутит Кернер.