Разрабатывают POS-системы глобальные вендоры, в числе которых и Oracle. И — как ни удивительно — в последнее время мы все чаще слышим об инцидентах, которые происходят в системах этого производителя.
«Взлом Oracle потенциально компрометирует почти каждую американскую банковскую карту» — с подобными заголовками вышли недавние новостные статьи на Западе. Первоисточником их стала заметка блоггера в области информационной безопасности Brian Krebs на сайте Krebsonsecurity.com.
Наверняка в русском новостном сегменте многие уже слышали о состоявшейся компрометации более 700 систем MICROS в ритейл-секторе компании Oracle. «Русский след» нашли и здесь: в причастности к инциденту подозревают российский преступный киберсиндикат Carbanak, обвиняемый в краже более $1 млрд у различных банков, фирм в гостиничном бизнесе и других ритейл-компаний в 30 странах в течение последних семи лет.
Можно с уверенностью сказать, что для подобного происшествия давно имелись все возможные предпосылки. Предположительно, вначале была скомпрометирована одна система внутри корпоративной сети Oracle, после чего были атакованы другие системы, а впоследствии — и сам клиентский портал MICROS.
Для справки, компания Oracle является одним из трех крупнейших поставщиков POS систем в мире. По данным производителя на 2014 год, системой Oracle MICROS пользовались в 180 странах более 200 тысяч фирм пищевой индустрии, более 100 тысяч ритейл-компаний и более 20 тысяч отелей. Учитывая то, какое огромное количество карт ежедневно обрабатывают терминалы, можно легко вообразить масштабы угрозы в результате инцидента в ИБ.
Последнее заявление компании Oracle свидетельствует о ее беспокойстве относительно утекших учетных данных пользователей. Есть опасение, что критичная информация на клиентском портале MICROS может быть задействована злоумышленниками удаленно для администрирования и, что еще опаснее, для загрузки вредоносного кода. Такое ПО будет воровать данные банковских карт и счетов.
Сфера POS вообще очень привлекательна для злоумышленников. При компрометации POS-системы они могут загрузить вредоносный код как в саму систему, так и в POS-терминал, таким образом напрямую получая данные о каждой использованной банковской карте. Вместо сотни слов ситуацию ярко иллюстрируют цифры и конкретные факты. Так, недавняя публикация в Форбс повествует о взломе как минимум еще четырех крупных POS-провайдеров (ECRS, Cin7, Navy Zebra, PAR Technology Corporation), общее количество POS-устройств которых превышает один миллион. В каждом случае провайдер подвергся атаке, нацеленной на хищение кредитных данных клиентов. При этом, пострадавшие провайдеры утверждают, что ничего ценного украдено не было, и что взломанные сервера не хранили какие-либо важные материальные и персональные данные.
Интересна и другая статистика: за последний год участилось количество взломов компаний в сфере гостиничного бизнеса. Пострадавшие организации подтверждают факт проникновения в их кредитные системы и случаи мошенничества с денежными счетами (Credit Card Systems). В большинстве случаев, атаки были реализованы через внедрение вирусной программы (malware) в POS-системы, расположенные во внутренних сетях компаний и доступных публично — бары, рестораны. В списке пострадавших фирм числятся и такие гиганты, как Kimpton Hotels, HEI Hotels, Trump Hotel Collection, Hilton Hotel, Mandarin Oriental, White Lodging, Starwood Hotels, Hyatt и др. Информация о том, что часть взломанных фирм использовала MICROS в качестве POS системы подтверждена. Однако, тот факт, что существует прямая взаимосвязь между взломом портала MICROS и взломом гостиничных компаний, на данный момент публично не подтверждается.
Официально также нельзя точно сказать, какие бреши в защите использовали злоумышленники, однако стоит отметить, что недавно компания Oracle закрыла ряд уязвимостей в MICROS POS (CVE-2016-0684, CVE-2016-3429, CVE-2016-0469). Вопрос о том, сколько уязвимостей в MICROS POS еще не найдено, остается открытым. Тот факт, что MICROS Systems только недавно стала принадлежать компании Oracle, также может сказаться на качестве кода их продуктов.
Неофициальную версию взлома, согласно анонимному источнику, предоставил Brian Krebs. Исследователь упоминает о переписке двух хакеров на форуме [full disclosure], где один из них играл роль продавца базы данных Oracle MICROS и доступа к клиентскому порталу MICROS, а второй — покупателя. В итоге, покупатель согласился на сделку и перевел биткоины (криптовалюта) на крипто-счет продавца в эквиваленте $13 тысяч. Проанализировав переписку, также можно понять, что доступ в MICROS был получен через эксплуатацию уязвимости в функции удаленной загрузки контента на портал, что привело к установке довольно популярной оболочки администрирования «WSO Web Shell». Данная оболочка позволяет удаленно, используя только браузер, контролировать взломанную систему, устанавливать дополнительные зловредные модули для продвинутых векторов атак на жертву. Помимо Oracle MICROS, в переписке есть упоминание еще о девяти взломанных POS-провайдерах.
Oracle заявляет, что корпоративная сеть компании не пострадала в ходе утечки. А Brian Krebs, отмечает, что согласно его анонимному источнику, взлом произошел именно в одном из главных дата-центров Oracle в отделе Hospitality Division. Компьютеры работников подверглись атаке, благодаря которой с рабочих станций была удалена важная для бизнеса информация. Из-за этого инцидента была приостановлена работа отдела на несколько дней, потребовалось восстановление утерянных данных.
Неофициальная версия атаки на POS-системы Oracle с точки зрения экспертов по ИБ выглядит достаточно правдоподобно. В процессе аудитов специалисты нередко сталкиваются с проблемами безопасности, похожими на те, что описывает Brian Krebs. Сценарий взлома целой системы, а затем и всех систем в корпоративной сети через эксплуатацию уязвимости лишь одного компонента вполне реален.
История «взлома систем MICROS» получила свое продолжение с выходом Security Alert (уведомление об опасности) от компании VISA. В данном документе VISA обращает внимание на возможные детали расследования взлома MICROS, в частности — на список IP-адресов, связанных с кибер-группировкой Carbanak. Также в документе были представлены «признаки компрометации» (IOS, indicators of compromentation) и способы защиты не только от взлома злоумышленниками из Carbanak, но также от заражения вредоносной программой MalumPOS. Данная malware была обнаружена TrendMicro в 2015 г. Этот зловред, притворяясь легитимным приложением «NVIDIA Display Driver», был создан целенаправленно для сбора кредитных и платежных данных с POS-систем, работающих на Oracle MICROS в ретейле, гостиничном бизнесе и смежных сегментах. А именно, вирусная программа могла выборочно извлекать данные кредитных карт (от VISA, MasterCard, American Express, Discover, Diner’s Club), атаковала Oracle Forms и, что особенно интересно, поддерживала установку новых вирусных модулей, расширявших сферу ее применения.
Чем опасен произошедший взлом клиентского портала? Как минимум, компрометацией ряда клиентов Oracle, использующих MICROS POS. Однако, поставив себя на место атакующих, можно было бы задаться вопросом: а зачем останавливаться только на компрометации клиентского портала MICROS, если находишься внутри корпоративной сети Oracle?
Если же говорить о том, что угрожает самому вендору, можно отметить, что злоумышленникам может быть легко открыт доступ к различным ноу-хау, разработкам, корпоративным секретам. Также они способны завладеть данными о других продуктах вендора, получить доступ к инфраструктуре, связанной с различными бизнес-решениями Oracle, тем самым поставив под угрозу пользователей таких ERP-систем, как Oracle EBS, PeopleSoft, Siebel.
В случае компрометации ERP-системы злоумышленники могут получить доступ к критичной информации: учетным данным пользователей, банковским, кредитным, персональным данным, а также к товарной информации (на пример, к инженерным чертежам), которая может быть интересна конкурентам.
Получится ли «разрулить» ситуацию, будет зависеть от того, какую тактику противодействия преступникам выберет вендор. В любом случае, разработчики стараются молчать о подобных инцидентах, пытаясь смягчить последствия.
Каковы риски для клиентов, использующих скомпрометированный продукт производителя ERP-систем? Все зависит от индустрии, в которой работает компания. Если говорить о ритейле, это хищение банковских данных. В случае с Manufacturing, Oil and Gas и другими специфическими отраслями, это может быть чревато раскрытием корпоративных секретов, срывом новых проектов и разного рода саботажем.
Представьте, к примеру, что была взломана фармацевтическая компания, производящая лекарства. Злоумышленники могут слегка изменить состав веществ. Когда такой продукт выйдет на рынок, потребители могут получить негативное воздействие на здоровье — от аллергического приступа и отравления до летального исхода. Все случившееся, помимо вышеперечисленного, приведет к скандалу и потере доверия к продуктам компании, нанесет серьезный ущерб репутации.
Также можно представить, что взломан завод, выпускающий детали для автомобильной промышленности. Злоумышленники могут внести незаметные, на первый взгляд, правки в чертежи механизмов, и впоследствии это приведет к авариям на дорогах. Это означает массовый отзыв запчастей или даже машин повсеместно, как только проблемы начнут обнаруживаться во время дорожных происшествий. Также завод понесет и сопутствующие репутационные убытки.
Помимо прочего, в современных промышленных комплексах вся критично важная инфраструктура может быть подключена к управляющей системе. И если злоумышленник проникнет в нее, при помощи нехитрых манипуляций может отключить важные датчики проверки давления, температуры или приостановить другие важные технологические процессы. Подобные действия могут привести к аварии и повлечь за собой человеческие жертвы.
В описанном нами инциденте безопасности компания Oracle проявила себя именно так, как и требовалось вендору, который пострадал от атаки. Хотя мы и не знаем полного масштаба бедствия, клиенты MICROS в итоге получили предупредительные письма о необходимости сбросить пароли к учетным записям. Перед этой рассылкой Oracle, скорее всего, провела полное расследование инцидента и сочла эти рекомендации достаточными для того, чтобы обезопасить клиентов. Выпущенный компанией VISA Security Alert также указывает на заинтересованность и стремление VISA в защите своих клиентов (и клиентов Oracle).
Если бы компания Oracle умолчала о происшедшем, последствия могли быть намного хуже. Помимо публичной огласки и возможных репарационных потерь, производитель наверняка получил бы претензии от пострадавших клиентов. Такой инцидент может произойти в любой компании, у любого вендора: небольшая брешь в безопасности позволит атакующим создать и развить вектор атаки, компрометирующий не только всю компьютерную сеть, а также все клиентские (как персональные, так и платежные) данные. И этот случай демонстрирует нам, насколько важна правильная реакция вендора на инцидент.
Также стоит отметить, что в последнее время наблюдается рост числа атак с использованием специфических уязвимостей в индустрии специализированных решений. Это актуально не только для ритейла, но и для Oil and Gas, Manufacturing и т. д. К сожалению, большая часть подобных инцидентов так и не предается огласке.
В мире не существует ИТ-систем, защищенных на 100%, к тому же, многие факторы могут провоцировать появление проблем безопасности и различных брешей. Кроме того, незакрытые хорошо известные уязвимости, жестко запрограммированные пароли и пароли по умолчанию часто встречаются в изначальной установке системы. И для того, чтобы не допустить проникновение злоумышленников сквозь бреши в системе, часто необходимо применять определенные базовые меры безопасности. Помимо этого, компании нужно ознакомиться со всеми возможными рисками, с которыми она может столкнуться, и быть в курсе современных угроз, появляющихся на рынке, чтобы иметь возможность вовремя противодействовать им. Злоумышленники задействуют самые разнообразные источники информации, аналогично нужно поступать и компаниям.
Описанный инцидент обращает наше внимание на то, сколь важно заботиться о защите продуктов во всех сферах бизнеса. Мы можем видеть, как брешь безопасности в одной единственной системе или сервисе вендора позволяет компрометировать огромное количество систем его клиентов, и, как результат, простых обывателей.