Новые угрозы для старых PoS-терминалов. Колонка Дениса Макрушина

Казалось бы, не так давно мир узнал об угрозах, специально разработанных для необычных, наполненных всамделишными деньгами компьютеров — банкоматов. Прошло несколько лет, и ряды «необычных компьютеров» пополнились новыми устройствами для торговых операций и приема к оплате платежных карт — PoS-терминалами (point of sales, точка продаж).

2013 год ознаменовался инцидентом, который затронул жителей США: данные более 40 миллионов банковских карт и информация о более чем 70 миллионах клиентов крупной торговой сети Target оказались в руках злоумышленников. При расследовании выяснилось, что причиной инцидента стала не компрометация системы процессинга платежей или серверов компании, а зараженные кассовые аппараты и PoS-терминалы. Вредоносное программное обеспечение, установленное на них злоумышленниками, перехватывало платежные данные, находящиеся в оперативной памяти устройства в открытом виде. В 2014 году ситуация с терминалами повторилась в другой торговой сети, Home Depot, и привела к утечке данных с 56 миллионов карт.

Эти инциденты показали, что злоумышленники не только пристально следят за трендами развития технологий и устройств приема и обработки платежей, но и непрерывно разрабатывают специализированное вредоносное программное обеспечение для кражи ценных финансовых данных.

До масштабных взломов розничной сети проблема вредоносных программ для PoS-терминалов не столько игнорировалась, сколько просто не привлекала внимание общественности и СМИ, несмотря на то что PoS-зловреды атаковали различные предприятия по крайней мере с 2010 года. Так, еще в 2010 году мир узнал о зловреде Trojan-Spy.Win32.POS (также известном как CardStealer), который искал данные платежной карты на зараженной рабочей станции и передавал найденную информацию на сервер злоумышленников. С тех пор антивирусные эксперты каждый год обнаруживают все новые и новые экземпляры вредоносного ПО, разработанного для кражи платежных данных с PoS-терминалов.

Хронология обнаружения угроз для PoS-терминалов (источник: «Лаборатория Касперского»)

В настоящее время заражение PoS-терминалов уже вышло за пределы точечных атак, и киберпреступники получили новый плацдарм для реализации угроз, который позволяет ближе всего подобраться к чужим деньгам.

ОС общего назначения против вредоносного ПО конкретного назначения

Жизнь злоумышленников отчасти упрощается тем, что PoS-устройства на самом деле обычные компьютеры, которые также могут использоваться (и порой используются, особенно в сфере малого бизнеса) для «общих целей», в том числе для серфинга в Сети и проверки электронной почты. Это означает, что преступники в некоторых случаях могут получить удаленный доступ к таким устройствам.

Зловред Dexter, обнаруженный в 2012 году, воровал реквизиты банковских карт, атакуя торговые терминалы, находящиеся под управлением ОС семейства Windows. Он внедрялся в системный процесс iexplore.exe, считывал оперативную память и искал платежные данные, достаточные для изготовления поддельной пластиковой карты (имя владельца, номер счета, срок годности и номер карты, включающий код эмитента, класс и тип карты, и так далее), затем отправлял собранную информацию на удаленный сервер, подконтрольный злоумышленникам.

Примеры команд, которые Dexter принимал от управляющего сервера

Dexter за время своего существования успел поразить сотни PoS-систем в широко известных сетях розничной торговли, отелей, ресторанов, а также на частных парковках. И как можно догадаться, большая часть рабочих станций жертв находилась под управлением операционной системы Windows XP.

Другим печально известным примером стала угроза, получившая название Backoff. Этот PoS-троян разработан для кражи с платежных терминалов информации о картах. Подобно Dexter, этот зловред читал оперативную память PoS-терминала, чтобы получить данные платежных карт. Кроме того, некоторые версии Backoff содержали компонент перехвата клавиатурного ввода (кейлоггер) предположительно на тот случай, если он окажется не на PoS-терминале, а на обычной рабочей станции, которая также может быть использована для платежей (а значит, пользователь будет вводить ценную информацию с клавиатуры).

Точки продаж в «неторговых» местах

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Денис Макрушин: Специализируется на исследовании угроз и разработке технологий защиты от целевых атак. #InspiredByInsecure