Несколько недель назад российская антивирусная компания Доктор Веб обнаружила необычный банковский троян. Основная задача вируса получать аутентификационные данные для доступа к банковским счетам жертв, поэтому его отнесли к семейству «Trojan.Ibank». Необычная находка была сделаны в коде вируса, в котором обнаружены модули поиска клиентов SAP-систем. Внедрив подобный троян на систему с SAP-клиентом злоумышленник может получить более «вкусные» данные нежели банковские учетки жертвы, а именно пароли доступа к SAP и IP-адреса серверов этих систем.
Получив доступ к SAP злоумышленник может (в зависимости от уровня скомпрометированной учетки) осуществить доступ практически ко всем ресурсам компании, он может украсть коммерческие секреты, информацию о сотрудниках, клиентах, поставщиках, ценах. Он может вывести деньги из компании путем создания и утверждения транзакций платежей или изменении банковских счетов существующих клиентов, подставив вместо них свои. В конце концов, он может организовать DoS-атаку против SAP-серверов компании и тем самым попытаться сорвать ее бизнес-операций и нанести финансовый ущерб.
Для создателей трояна получить данные о SAP не является основной целью, а эту, заодно собранную информацию они намерены использовать позднее или продать его тем, кому она действительно интересна (конкурентам компании).
ERP-системы SAP используют, как правило, очень крупные предприятия. В частности в России продукты SAP используют компании: «Газпром», «Роснефть», «ЛУКОЙЛ», «Норильский никель», «Сургутнефтегаз», «Вымпелком», «НЛМК», «Газпром нефть» и «НОВАТЭК».
Возможно это первый вирус нацеленный на SAP, но далеко не последний. В будущем это направление компьютерных атак будет развиваться и совершенствоваться и, возможно, вскоре мы сможем увидеть искусные атаки на SAP, которые смогут оказать влияния на акции компании и позволят злоумышленникам получить прибыль на фондовом рынке.
Автор: Milkov