Видео: Hacking a Mac in 20 seconds or less, Hak5 1521.2 (Септември 2024)
Въпреки че Target все още държи на мама как нападателите успяха да нарушат мрежата си и да изтеглят информация, принадлежаща на повече от 70 милиона купувачи, сега знаем, че при нападението е използван RAM за изтриване на зловреден софтуер.
"Не знаем пълната степен на това, което се е случило, но това, което знаем, е, че в регистрите на нашите търговски обекти е бил инсталиран зловреден софтуер. Толкова много сме установили", заяви в интервю за изпълнителния директор на Target Грег Щайнхафел CNBC обсъжда неотдавнашното нарушение. Първоначално компанията заяви, че информацията за разплащателните карти за 40 милиона души, които пазаруват в един от нейните търговски обекти през празничния сезон, са компрометирани. Таргет каза миналата седмица, че личната информация за 70 милиона души също е била открадната и че всеки купувач, който дойде в магазините през цялата 2013 г., е изложен на риск.
Неназовани източници съобщиха на Ройтерс през уикенда, че злонамереният софтуер, използван при атаката, е скрепер на RAM. RAM scraper е специфичен вид злонамерен софтуер, който е насочен към информация, съхранявана в паметта, за разлика от информацията, запазена на твърдия диск или предавана по мрежата. Въпреки че този клас злонамерен софтуер не е нов, експертите по сигурността казват, че е имало скорошен темп на броя на атаките срещу търговци на дребно, използващи тази техника.
Атакуваща памет
RAM скрепери се оглеждат в паметта на компютъра, за да вземат чувствителни данни, докато се обработват. Съгласно настоящите правила за защита на данните за индустриални данни за платежни карти (PCI-DSS), цялата информация за плащанията трябва да бъде криптирана, когато се съхранява в системата PoS, както и когато се прехвърля към бек-енд системи. Въпреки че нападателите все още могат да откраднат данните от твърдия диск, те не могат да направят нищо с него, ако са криптирани, а фактът, че данните са криптирани по време на пътуване по мрежата, означава, че нападателите не могат да задушат трафика, за да откраднат нещо.
Това означава, че има само малък прозорец с възможности - момента, в който софтуерът на PoS обработва информацията - нападателите да вземат данните. Софтуерът трябва временно да декриптира данните, за да види информацията за транзакциите и злонамереният софтуер използва този момент, за да копира информацията от паметта.
Повишаването на злонамерения софтуер, чиято памет е RAM, може да бъде обвързано с факта, че търговците на дребно се подобряват при криптирането на чувствителни данни. "Това е надпревара с оръжия. Ние хвърляме препятствия и нападателите се адаптират и търсят други начини да вземат данните", заяви Майкъл Сътън, вицепрезидент на изследванията за сигурност в Zscaler.
Само още един зловреден софтуер
Важно е да запомните, че терминалите за продажба са по същество компютри, макар и с периферни устройства като четци за карти и клавиатури. Те имат операционна система и пускат софтуер за обработка на сделките по продажбите. Те са свързани към мрежата, за да прехвърлят данни за транзакциите към бек-енд системите.
И както всеки друг компютър, PoS системите могат да бъдат заразени със злонамерен софтуер. "Традиционните правила все още се прилагат", заяви Честър Вишневски, старши съветник по сигурността в Софос. Системата PoS може да бъде заразена, защото служителят използва този компютър, за да отиде на уебсайт, хостващ злонамерен софтуер, или случайно отвори злонамерен прикачен файл към имейл. Зловредният софтуер може да е използвал непакетиран софтуер на компютъра или някой от многото методи, които водят до заразяване на компютъра.
„Колкото по-малко привилегия имат работниците в магазина на терминалите за продажба, толкова по-малка е вероятността те да се заразят“, каза Вишневски. Машините, които обработват плащанията, са изключително чувствителни и не трябва да позволяват сърфиране в Интернет или инсталиране на неоторизирани приложения, каза той.
След като компютърът е заразен, зловредният софтуер търси конкретни типове данни в паметта - в този случай номера на кредитни и дебитни карти. Когато намери номера, го записва в текстов файл, съдържащ списъка на всички данни, които вече е събрал. В определен момент зловредният софтуер изпраща файла - обикновено през мрежата - до компютъра на нападателя.
Всеки е цел
Въпреки че търговците на дребно понастоящем са цел за анализиране на злонамерен софтуер за анализ на паметта, Wisniewski заяви, че всяка организация, обработваща разплащателни карти, ще бъде уязвима. Първоначално този вид злонамерен софтуер се използва в секторите на хотелиерството и образованието, каза той. Sophos нарича RAM scrapers като Trackr Trojan, а други доставчици ги наричат Alina, Dexter и Vskimmer.
Всъщност RAM скрепери не са специфични само за PoS системи. Киберпрестъпниците могат да пакетират злонамерен софтуер, за да откраднат данни във всяка ситуация, в която информацията обикновено е криптирана, каза Сътън.
Visa издаде два сигнала за сигурност през април и август миналата година, предупреждавайки търговците за атаки, използващи зловреден софтуер, анализиращ паметта PoS. „От януари 2013 г. Visa отбелязва увеличение на посегателствата в мрежата, включващи търговци на дребно“, каза Visa през август.
Не е ясно как зловредният софтуер е попаднал в мрежата на Target, но е ясно, че нещо не е успешно. Зловредният софтуер не е инсталиран само в една PoS система, но на много компютри в цялата страна и "никой не забеляза", каза Сътън. И дори злонамереният софтуер да е прекалено нов, за да го открие антивирус, фактът, че той прехвърля данни от мрежата, би трябвало да повдигне червени знамена, добави той.
За отделния купувач, използването на кредитни карти всъщност не е опция. Ето защо е важно редовно да следите отчетите и да следите всички транзакции по техните сметки. „Трябва да се доверите на търговците с вашите данни, но можете също така да сте бдителни“, каза Сътън.
