Компрометация Target: последние данные

    Несколько недель назад стало известно о масштабной компрометации клиентов американской ритейлерной корпорации Target. Злоумышленникам удалось установить вредоносный код на компьютеры, которые связаны с терминалами оплаты (POS, Point Of Sale) покупок с использованием кредитных карт. В результате хорошо спланированной злоумышленниками операции по внедрению и эксплуатации вредоносного кода, конфиденциальные данные кредитных карт более 50 млн. пользователей оказались скомпрометированы. Кроме этого, чуть позже появилась информация, что атакующие получили доступ и к такой конфиденциальной информации клиентов и сотрудников Target как адреса электронной почты и телефонные номера.



    Для кражи данных кредитных карт использовались инструменты, которые популярны у кардеров, например memory-grabber, для извлечения информации из памяти нужного процесса при выполнении транзакции. Одним из первых, кто предоставил подробную информацию о новом вредоносном коде, была компания iSight. Новый вредоносный код получил название Trojan.POSRAM (iSight). Антивирусные продукты ESET обнаруживают его как Win32/Spy.POSCardStealer.R, Win32/Spy.POSCardStealer.S, Win32/Spy.POSCardStealer.T (Symantec: Infostealer.Reedum.B, Microsoft: Trojan:Win32/Ploscato.A). Этот вредоносный код был написан специально для компрометации POS, но атакующие использовали и другие инструменты, известные как greyware или HackTool для проведения тех или иных операций (среди них был и вполне легитимный инструмент Sysinternals PsExec, снабженный действительной цифровой подписью). Это свидетельствует о том, что они имели удаленный доступ к скомпрометированным компьютерам (backdoor).



    Несколько дней назад компания IntelCrawler, которая базируется в Калифорнии, распространила в СМИ информацию, что к разработке кода Trojan.POSRAM причастен житель Санкт-Петербурга. IntelCrawler прозвали этот вредоносный код KAPTOXA, т. е. слово, сокращенное от «картофель», которое написано на латинице. В отчете компании говорится, что злоумышленники первоначально использовали это слово для именования своего вредоносного кода.

    Масштаб, проведенной злоумышленниками операции впечатляет. Ранее Target заявляла об атаках на свои системы осенью ушедшего года, вполне возможно, что это была первоначальная разведка для проведения операции по установке вредоносного кода.
    ESET NOD32
    107,00
    Компания
    Поделиться публикацией

    Комментарии 14

      +1
      Интересно узнать подробности по атаке. Как проникли в сеть, как распространяли, как обошли меры защиты, были ли zero-day и т.д.
        0
        Не факт, что действительность хоть как-то пересекается с «расследованием».
        Вот тут сообщается, что подросток живёт не в Питере, с ним связались из СМИ и он сообщает, что он не причастен. Так что если у компании достаточно остнований подозревать — пущай натравливают силовиков.
          +2
          >… с ним связались из СМИ и он сообщает, что он не причастен

          А что, кто-то ожидал, что он скажет «Да, вы меня раскусили, это я упер данные 50 миллионов кредиток»? :)
            0
            Это поведение с точки зрения психологии странное. Представьте. Вы — вор. Вы своровали и постарались не оставить следов. Проходит время, и ничего не происходит. Вас за попу никто не берёт. Это сильно уверяет Ваше чувство безнаказанности. Вдруг Вам звонят с незнакомого номера и просят прокомментировать своё причастие к преступлению. Каково Ваше поведение? Фривольно, как ни в чём не бывало скажете в стиле: «мопед не мой»? Или, может, Вас охватит ужас, сознание спутается и Вы бросите трубку без ответа? Или, в лучшем случае, пробормотав что-то не связное.

            Лично я за второй вариант. Да к тому же, такое и в классике встречается. Вспомните королевского прокурора Вильфора из графа Монте-Кристо. Когда граф сообщал ему о том, что нашёл могилу ребёнка, при этом даже не сообщая и не намекая, что это дело рук самого Вильфора.
              +2
              Да вряд ли. У парня хватило ума провести такую успешную, многоступенчатую атаку, но не хватило ума замести следы? Я сомневаюсь. И очень сомневаюсь, что он заранее не продумал свое поведение в случае, если его «возьмут за жо#у».
          +5
          Сам себе отвечу. Информации немного, но кое-где пишут, что злоумышленники взломали один из веб-серверов Target-а и получили доступ во внутреннюю сеть. Затем они разослали трояна по терминалам и подняли промежуточный сервер на одной из машин. Троян внедрялся в процесс платежного софта и забирал номера карт, телефонов и адреса почты прямо из памяти процесса. Несколько раз в день собранную информацию троян складывал на временную сетевую папку промежеточного сервера. Через две недели, как пишут тут, промежуточный сервер несколькими порциями отправил 11Гб собранных данных на ftp-сервер, поднятый на VPS где-то в России. Больше информации вроде нет.

          Судя по всему этому, безопасность (для организации, работающей непосредственно с платежной клиентской информацией) была обеспечена просто отвратительно.
            +2
            Судя по всему этому, безопасность (для организации, работающей непосредственно с платежной клиентской информацией) была обеспечена просто отвратительно.

            Абсолютно обычное дело.
          0
          Хм, а выглядит этот Таргет довольно солидным магазином, особенно по сравнению в Walmart и прочими Крогерами. Интересно, пострадали все, кто платил картой? Думаю, перевыпускать мне свои карты, которые я там использовал или нет.
            0
            Перевыпускать. Даже если банк будет настаивать на обратном. Меня Chase уговаривал «не волнуйся, мы все мониторим, ты только следи за счетом, проверяй, заходи на наш сайт и т.д.». Я ответил «мне только еще не хватало следить каждый день за состоянием счета. Давайте новую карту». Дали.
              0
              Вроде бы, если я верно понял, скомпрометированы карты, использовавшиеся в оплате с ноября по декабрь. Если в этот период картой в Target не расплачивались, то особого резона перевыпускать карту нет.
                0
                В этом году был в штатах весь сентябрь, если верить этой информации, меня не задело. А то уж наши российские банки точно не перевыпустили бы бесплатно, а за бабло это примерно по $10 за каждую карту. Так-то у меня по всем картам оповещение настроено.
                  0
                  Зависит от банка. Авангард бесплатно перевыпустил карты, когда стало известно о компрометации SagePay/ShopTo.
                0
                Мне Chase написал, что они всем кто платил в Target с 27-го ноября по 15 декабря сделают карты. Мне вот прислали новую. На старых они сразу же сделали лимиты на оплату и снятие денег. Я своей картой пользовался как обычно. Запасся попкорном и наблюдал за происходящим.
                –1
                Хех, в недавней теме про дыру в форме восстановления пароля в вконтакте где можно было по телефону/имейлу «пробить» имя/профиль были комментарии что это вообще не дыра и не утечка данных. А в статье по ссылке из поста подростка из Питера и хакера связывают только благодаря этой же форме.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое