Банк второго уровня Нефтяная компания

БВУ

Расследование инцидента

2 недели

К нам обратился один из банков Казахстана с просьбой расследовать инцидент по взлому банкомата. Банкоматы в одном из регионов стали работать со сбоем: операционная система зависала, перезагружалась, что мешало полноценной работе машины.

Наши инженеры провели расследование инцидента и обнаружили зловред на компьютере администратора, отвечавшего за данный регион. Данный зловред был запрограммирован таким образом, что при вводе определенного набора цифр на банкомате, последний должен был выдавать деньги. Однако, на банкоматах стоял антивирус от Symantec, в котором была функция контроля запуска приложений, и поэтому все несанкционированные действия на банкомате блокировались. Данная мера позволила банку избежать значительных материальных потерь. 

В ходе расследования инцидента наши инженеры смогли отследить путь попадания зловреда в систему. Интересно, что изначально зловред попал в систему через компьютер рядового пользователя. Его задачей было проникнуть в компьютер администратора, с которого происходит управление банкоматами. Задача была решена довольно оригинальным способом: вирус отключал компьютер пользователя - выводил просто синий экран. Пользователь вызывал администратора, который, чтобы разобраться в причине ошибки, вводил свой логин и пароль на данном ПК. Таким образом зловред собирал данные администриторов и затем смог проникнуть на нужный ему компьютер.