17 марта старший исследователь вирусов лаборатории SophosLabs Ваня Швайцер (Vanja Svajcer) опубликовал информацию об обнаруженном вирусе, предназначенном для отслеживания транзакций в гривнах, рублях, долларах и сбора персональных данных в банкоматах Diebold.

Описание вируса и свои предположения о характеристиках Швайцер разместил в своем личном блоге на сайте британской компании Sophos (www.sophos.com), занимающейся вопросами компьютерной безопасности. По его словам, поиск вредоносного ПО для продукции крупнейшего американского производителя банкоматов Diebold был предпринят по просьбе знакомого сотрудника банка. Тот имел некоторые подозрения по поводу банкоматов, используемых в России.

В базе данных вирусов Sophos Ваня Шнайдер обнаружил три файла, имеющих отношение к банкоматам Diebold. Более детальный анализ показал, что исполнительный файл представляет собой троянскую программу, предназначенную для компрометации чувствительных данных. Основной целью злоумышленников являются операции в валютах России, Украины и США. По предварительному экспертному заключению, программа перехватывает данные со считывателя магнитной полосы и клавиатуры, шифрует собранную информацию и даже предоставляет злоумышленникам альтернативный пользовательский интерфейс.Для передачи данных троян использует чековый принтер банкомата.

Ранее использование вредоносного ПО для банкоматов маловероятным. Эти устройства работают либо под управлением нестандартных операционных систем, либо Windows специальной сборки, программный и аппаратный интерфейс банкоматов считается недокументированным, соединяются аппараты в изолированные сети, а физический доступ к ним без специального ключа затруднён за счёт множества датчиков. Основным методом компрометации банкоматов считается использование скиммеров и видеокамер для сбора данных о магнитных полосах пластиковых карт и пин-кодах. На основании этих данных производят фальшивые карты, по которым и снимают деньги.

Специалист Sophos полагает, что разработка такого трояна требует участия программиста с хорошим знанием "внутренностей" банкоматов Diebold. Кроме того, до сих пор не ясно, каким образом злоумышленники внесли вредоносное ПО в банкоматы. По версии эксперта, это могло быть сделано либо на производстве, либо во время транспортировки, либо уже непосредственно на месте работы банкомата. В любом случае, наиболее вероятной считается версия участия инсайдера либо в компании-производителе, либо в банке, использующем аппараты.

Реакция Diebold последовала незамедлительно. Производитель банкоматов разослал предупреждение своим клиентам об обнаруженной угрозе. В сообщении явно указывается, что троянская программа разработана для банкоматов под управлением ОС Windows, а также заостряется внимание на необходимости злоумышленникам физического доступа в банкомат, так как по сети вирус не распространяется.

Кроме того, Diebold разослал обновление для ПО банкоматов, делающее невозможным использование обнаруженных вирусов. В сопроводительном письме компания еще раз призвала своих клиентов более ответственно соблюдать отраслевые стандарты политики предоставления физического доступа к банкоматам, управления паролями и установки обновлений ПО.

Эксперты компании Sophos уверены, что данный случай носит единичный характер, а практика написания вирусов для банкоматов не получит широкого распространения.