По информации издания «Коммерсантъ», в 2021 году ИБ-специалисты из RTM Group обнаружили вредоносный код в доработанном программистами на аутсорсинге ПО для 1С — модулях «Бухгалтерия», «Управление торговлей» и «Управление нашей фирмой». Скомпрометированные версии модулей были установлены в бухгалтерии и других отделах нескольких десятков компаний. В компании 1С назвали такой возможный вариант работы модулей технически несостоятельным, но признали, что данные модули могут быть доработаны сторонними разработчиками для использования в преступных целях.
RTM Group выяснила, что доработанные модули 1С в момент проверки лицензионного ключа отправляли содержащиеся в них сведения о клиентской базе, платежах и потенциальных договорах на определенный адрес электронной почты, заранее прописанный в системе. Со стороны не было никаких видимых причин, что 1С в компании работает неправильно — логи и отчеты системы показывали, что все в порядке.
Эксперты RTM Group зафиксировали нескольких десятков подобных случаев. Неназванные изданием аусорсеры ставили такие доработанные модули 1С компаниям из сферы торговли и дистрибуции ПО. По каждому случаю RTM Group провела расследование и направила материалы в правоохранительные органы. По данной информации в полиции проводится проверка на предмет совершения преступления по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».
Представитель 1С пояснил изданию, что разработчики бухгалтерской и отчетной системы не сталкивались с подобными инцидентами, а проверка факта наличия лицензии их программного продукта производится на уровне ядра системы, код которого закрыт и не может быть изменен. С другой стороны в 1С не стали опровергать, что модули платформы можно умышленно доработать для кражи данных клиентов. В 1С посоветовали всем клиентам при необходимости доработки или установки модулей обращаться только к сертифицированным партнерам, а не к сторонним организациям без лицензий.
Эксперты отрасли пояснили изданию, что у 1С большое количество клиентов по стране, так как данное ПО установлено у 40% всех российских компаний. Причем небольшие фирмы и предприятия зачастую пытаются сэкономить на его развертывании и заказывают эти услуги у самых дешевых инсталляторов, которые могут сами внедрять или использовать готовые модификации модулей с мошенническими вставками.
Представители ИБ-компаний рассказали изданию, что такие инциденты могут затронуть малый и средний бизнес. В данном случае для жертвами злоумышленников становятся компании без собственные IT-отделов или даже системных администраторов. Эти компании нанимают программистов 1С через аутсорс. В 2020 году 1С раскрыло, что в России было 300 тыс. программистов 1С. Эксперты считают, что сейчас этот рынок заинтересовал мошенников, которые могут использовать наработки и опыт некоторых программистов 1С в своих целях, платя им хорошие деньги за скрытую модернизацию модулей.
