Начало этой прекрасной истории мы публиковали
тут.
Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций - тестирование работоспособности механизма выдачи денежных средств. Условие запуска - банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.
...В результате анализа выяснилось, что подобная утилита, но несколько модифицированная, не только находилась на жестком диске банкомата, но и запускалась в работу. Предположительно, модификация этой утилиты заключалась в снятии того самого ограничения, связанного с обязательным нахождением банкомата в тестовом режиме для осуществления ее запуска.
Возник справедливый вопрос: как данная утилита попала на банкомат? Выяснить это оказалось невозможно - лог-файлы заходов на банкомат и других действий были затерты без возможности восстановления. Пошли другим путем: решено было выяснить, на каких рабочих станциях банка находились данная утилита, ее модифицированная версия и ряд других файлов, следы запуска которых на банкоматах удалось восстановить. Стандартные версии утилиты KDiag обнаружились на ряде ПК, работающие на которых сотрудники были связаны с обслуживанием банкоматов. А полный набор разыскиваемых файлов (точнее, следов их нахождения на съемном носителе, который подключался к этому компьютеру) нашелся лишь на одном ПК. По номеру ПК был установлен его владелец - сотрудник, занимающийся обслуживанием банкоматов и имеющий доступ ко всему их парку, в том числе удаленный доступ посредством использования программы RAdmin.
Снова перед рабочей группой по расследованию инцидента встал вопрос - с чем столкнулись, с инсайдерством либо красивой атакой извне? Больше всего сомнений было связано с тем, что, по собранной из логов информации, необходимые утилиты перекачивались именно с подключенного съемного носителя. Другими словами, человек должен был подойти к компьютеру, находящемуся в пределах контролируемого периметра со СКУДами и системой видеонаблюдения, и подключить к нему съемный носитель. При таком раскладе концепция внешней атаки казалась маловероятной. А с учетом методов и средств, используемых при таргетированых атаках, реализация физического доступа к ПК выглядела уж совсем невероятной, прямо-таки архаичной, ведь разместить нужные злоумышленнику средства на ПК можно было, например, при помощи удаленного управления. Может быть, ошибка в логах? Вопрос - скорее, риторический, но на него все-таки хотелось получить ответ.
На совещании рабочей группы, занимающейся расследованием инцидентов, был поднят животрепещущий вопрос «брать и колоть подозреваемого или подождать и понаблюдать?». Было принято решение все-таки не торопиться, с помощью специальных автоматизированных средств мониторинга понаблюдать за рабочей станцией, попытаться собрать иные свидетельства и доказательства, а при возникновении малейшей на то необходимости или подтверждения подозрений перейти к более решительным действиям. Группа провела технологические работы для организации дополнительного мониторинга: были установлены программные средства мониторинга, снят образ с рабочей станции подозреваемого в инсайдерстве сотрудника, а рядом с его рабочим местом установили дополнительные средства видеонаблюдения. Все работы проводились в выходной день в режиме строгой секретности.
Результаты мониторинга показали, что подозреваемый сотрудник является весьма продвинутым пользователем: он создавал на своем ПК виртуальные машины, интересовался составом и характеристиками ряда вредоносных программ, за время наблюдения (а это - чуть больше недели) несколько раз отключал и «сносил» систему мониторинга, процессы которой в операционной системе были замаскированы, и пр. И эти сведения совершенно не совпадали с отзывом о данном сотруднике, полученным от его руководителя, который охарактеризовал его примерно так: «Да он - бывший кондуктор и в компьютерах разбирается не очень хорошо. Мы его взяли только для того, чтобы он чековые ленты в банкоматах менял».
Через пару недель собранная во время внутреннего расследования информация, в том числе данные мониторинга, все необходимые акты, лог-файлы из систем сбора событий, результаты технического анализа образов банкоматов и ПК, была передана с соответствующими комментариями правоохранительным органам, ведущим расследование группы инцидентов. Они обещали взять подозреваемого сотрудника «в оборот». Еще дней через десять банк уволил сотрудника «по соглашению сторон» в рамках плановой оптимизации, направленной на сокращение расходов.
А расследование, вроде бы, начатое правоохранительными органами, затихло. Банк подавал заявления в разных регионах страны. В некоторых из них правоохранительные органы сразу приступали к активным действиям, в других служба безопасности сталкивалась с их категорическим нежеланием открывать уголовное дело (это аргументировалось тем, что отсутствует состав преступления). В первое время от следователей еще поступали какие-то звонки, уточнения и запросы к членам рабочей группы, но постепенно все сошло на нет. И каких-либо результатов нет до сих пор.
А ведь внутреннее расследование было проведено при участии высококлассных профессионалов, специализирующихся на инцидентах такого рода, материалы этого расследования четко указывали на виновность конкретного человека, были собраны и предъявлены все доказательства. Если сотрудники банка ошиблись, то в чем? А если не ошиблись, почему дальнейшее расследование «ушло в тину»? Хочется верить, что ответы на эти вопросы все-таки будут получены.
Разбор полетов
Уже постфактум банк сделал некоторые выводы и предпринял меры, позволяющие впредь не допускать подобных инцидентов - безразлично, инициированных извне или изнутри. Немаловажным было то, что эти меры не потребовали каких-либо дополнительных затрат.
Обязательное наличие в банке всех инструкций, регламентов и четкость их выполнения. Нехватка суммы, составляющей больше 1 млн руб., при проведении инкассации - это событие, о котором в любом случае необходимо уведомлять службы безопасности и руководство. В описанном случае это сделано не было, поскольку рядовые сотрудники не получили таких инструкций, не знали, что предпринять, и понадеялись на «русский авось».
Способы подключения к банкоматам. Схемы подключения были пересмотрены. Запрещен прямой доступ к банкоматам, убраны все средства удаленного администрирования и оставлены только штатные средства удаленного рабочего стола.
Аудит и настройка систем безопасности на банкоматах. До возникновения на рынке похожих инцидентов банкоматы, как правило, защищали только физически - усиливали сейфовые замки, прикручивали сами устройства анкерными болтами к полу и стенам, устанавливали системы видеонаблюдения, внедряли процедуры проверки на наличие скиммингового оборудования и т.п. Теперь появилась необходимость в усилении программно-аппаратной части. Были проведены дополнительные настройки штатных брандмауэров на банкоматах, подключены средства контроля над целостностью, изменена схема сетевого взаимодействия банкоматов, усилены средства мониторинга.
Итак, подытожим. Если в какой-либо области прежде никогда не было инцидентов, приводящих к значительному ущербу, то это не означает, что так будет всегда. В мире меняется все, причем довольно быстро. Дабы поспевать за изменениями и всегда быть в тренде по уровню защищенности, надо считать риски и не забывать, что для снижения вероятности возникновения инцидентов далеко не всегда обязательны дорогостоящие, в том числе многолетние проекты - порой достаточно точечных мер.