Хакерское комьюнити RTM направило вирус 1С на незашифрованный файл ведущего бухгалтерского ПО. Троян TwoBee 2 года ювелирно обрабатывал банковские реквизиты и был замечен в нескольких странах.
Для своего вторжения в финансовые системы российских предприятий хакеры использовали брешь в популярном решении для бухучета «1С: Предприятие 8». Эту новость обнародовала антивирусная компания ESET в своем недавнем отчете о преступной деятельности сообщества хакеров RTM, на которое возложили ответственность за атаки на отечественные компании.
Троянский вирус 1С поразил наиболее распространенную систему – «1С: Предприятие»
«Лаборатория Касперского», ведущий разработчик антивирусного ПО, сообщала СМИ в средине февраля этого года о многочисленных атаках хакеров на системы бухучета российских организаций. Как теперь уже известно, все эти вмешательства осуществлялись при помощи троянского вредоносного ПО TwoBee.
Этот вирус способен редактировать специальные текстовые файлы программы 1С в зараженных им компьютерных сетях. Через такие сети происходило прямое сообщение информации между бухгалтерией и системой Дистанционного Банковского Обслуживания (ДБО). Однако, на тот момент «Лаборатории Касперского» точно не указала зараженную программу из огромного множества решений для бухучета.
Элементарный взлом «1С: Предприятие», или почему выборочная шифровка неэффективна
Все из того же отчета ESET стало ясно, что вредоносное программное обеспечение хакерской преступной группировки RTM заражало программу «1С: Предприятие 8», а точнее — ее документ с именем 1c_kl_txt. Этот небольшой, но весьма важный файл используется в ПО «1С: Предприятие 8» для передачи поручения ДБО о совершении платежа на определенный счет, который и прописывался в файле 1c_kl_txt. Это самый обычный текстовый файл, не подвергающийся шифрованию. Таким образом, для кражи денег атакованной компании, хакерам нужно было лишь исправить реквизиты конечного получателя.
Потери отечественных организаций (около двух десятков компаний) от таких преступных атак, по данным «Лаборатории Касперского», составили порядка 200 миллионов рублей. Стоит также отметить тот факт, что основной удар злоумышленников пришелся на компании малого и среднего бизнеса (90%). Остальные 10% – это государственные организации и объекты в сфере образования, в которых защита 1С от опасных действий находилась на низком уровне.
Если говорить о статистике геолокации организаций-жертв, то 25% из них находится в Москве, чуть меньше пострадавших из Краснодара и Екатеринбурга. Немногочисленные случаи кражи при помощи TwoBee были обнаружены также в Германии, Франции, Индии, Китае и Казахстане.
Эффективный апгрейд и новая защита «1С: предприятие» от хакеров
Представитель разработчиков программы «1С» Алексей Харитонов поделился с крупнейшим российским изданием в сфере высоких технологий CNews новостями о том, как теперь будет происходить защита информации 1С при передаче данных в банк для совершения платежей.
Одной из мер защиты является полное или частичное изменение имени файла 1c_kl_txt при помощи самой программы «1С: Предприятие» – это позволит предотвратить атаку трояна на документ.
Также в актуальных версиях системы «1С» проверяется вероятность заражения файла обмена внутри банка еще до момента исполнения платежей.
Защита данных 1С, согласно рекомендациям компании-разработчика, будет более высокой, если использовать специальное приложение «1С: Директбанк». Оно позволяет напрямую вести взаимодействие с серверами банков-операторов и исключает необходимость создания малозащищенных промежуточных документов, которые могут подвергнуться хакерским атакам.
К счастью, сегодня такую технологию поддерживают большинство банков России (около 30).