Video: RAM Scraping and Point of Sale Malware (November 2024)
Aj keď Target stále drží mamu o tom, ako sa útočníkom podarilo narušiť svoju sieť a vyzdvihnúť informácie, ktoré patria viac ako 70 miliónom nakupujúcich, teraz vieme, že pri útoku sa použil maliarsky malware RAM.
„Nevieme, čo všetko sa stalo, ale vieme, že v našich predajných registroch bol nainštalovaný malware. CNBC diskutuje o nedávnom porušení. Spoločnosť pôvodne uviedla, že informácie o platobných kartách pre 40 miliónov ľudí, ktorí nakupovali v niektorom zo svojich maloobchodných predajní počas sviatočnej sezóny, boli ohrozené. Target minulý týždeň uviedol, že boli ukradnuté aj osobné informácie pre 70 miliónov ľudí a že každý kupujúci, ktorý prišiel do obchodov vo všetkých rokoch 2013, bol ohrozený.
Nepomenované zdroje informovali agentúru Reuters o víkende, že malware použitý pri útoku je škrabka RAM. Škrabka RAM je špecifický typ malwaru, ktorý sa zameriava na informácie uložené v pamäti, na rozdiel od informácií uložených na pevnom disku alebo prenášaných cez sieť. Aj keď táto trieda škodlivého softvéru nie je nová, odborníci v oblasti bezpečnosti tvrdia, že došlo k nedávnemu nárastu počtu útokov na maloobchodníkov využívajúcich túto techniku.
Útok na pamäť
Škrabky RAM vyzerajú v pamäti počítača a zachytávajú citlivé údaje počas ich spracovania. Podľa súčasných pravidiel štandardu PCI-DSS (Payment Card Industry-Data Security Standard) musia byť všetky informácie o platbe šifrované, keď sú uložené v systéme PoS, ako aj pri ich prenose do back-end systémov. Aj keď útočníci stále dokážu ukradnúť údaje z pevného disku, nemôžu s nimi urobiť nič, ak sú šifrované, a skutočnosť, že údaje sú šifrované pri cestovaní po sieti, znamená, že útočníci nemôžu preniknúť z prevádzky, aby ukradli čokoľvek.
To znamená, že existuje len malé okno - v okamihu, keď softvér PoS spracováva informácie -, aby útočníci mohli údaje získať. Softvér musí dočasne dešifrovať údaje, aby sa zobrazili informácie o transakciách, a malware sa v danom okamihu zmocní na kopírovanie informácií z pamäte.
Nárast škodlivého softvéru RAM môže súvisieť so skutočnosťou, že maloobchodníci sa zlepšujú v šifrovaní citlivých údajov. "Je to závod v zbrojení. Vyhodíme zátarasy a útočníci sa prispôsobia a hľadajú iné spôsoby, ako získať údaje, " uviedol Michael Sutton, viceprezident bezpečnostného výskumu v spoločnosti Zscaler.
Iba ďalší škodlivý softvér
Je dôležité si uvedomiť, že terminály v mieste predaja sú v podstate počítače, aj keď s pripojenými periférnymi zariadeniami, ako sú čítačky kariet a klávesnice. Majú operačný systém a spúšťajú softvér na spracovanie predajných transakcií. Sú pripojené k sieti na prenos údajov o transakciách do back-end systémov.
A rovnako ako akýkoľvek iný počítač, systémy PoS môžu byť napadnuté škodlivým softvérom. „Tradičné pravidlá stále platia, “ povedal Chester Wisniewski, hlavný bezpečnostný poradca v Sophose. Systém PoS môže byť infikovaný, pretože zamestnanec použil tento počítač na to, aby navštívil webovú stránku obsahujúcu škodlivý softvér, alebo neúmyselne otvoril škodlivú prílohu k e-mailu. Malvér mohol zneužiť nepatriací softvér v počítači alebo niektorú z mnohých metód, ktoré vedú k infikovaniu počítača.
„Čím menej privilégií majú pracovníci obchodov na predajných miestach, tým je pravdepodobnejšie, že sa nakazia, “ uviedol Wisniewski. Stroje, ktoré spracúvajú platby, sú mimoriadne citlivé a nemali by umožňovať surfovanie po webe ani inštaláciu neoprávnených aplikácií.
Po infikovaní počítača malware vyhľadá konkrétne typy údajov v pamäti - v tomto prípade čísla kreditných a debetných kariet. Keď číslo nájde, uloží ho do textového súboru obsahujúceho zoznam všetkých údajov, ktoré už zhromaždil. V určitom okamihu potom malware pošle súbor - zvyčajne po sieti - do počítača útočníka.
Ktokoľvek je cieľom
Zatiaľ čo maloobchodníci sú v súčasnosti cieľom škodlivého softvéru na analýzu pamäte, Wisniewski povedal, že akákoľvek organizácia, ktorá manipuluje s platobnými kartami, by bola zraniteľná. Tento typ škodlivého softvéru sa pôvodne používal v odvetviach pohostinstva a vzdelávania, uviedol. Sophos označuje škrabky RAM ako trójsky kôň Trackr a ďalší predajcovia ich nazývajú Alina, Dexter a Vskimmer.
V skutočnosti nie sú škrabky RAM špecifické len pre systémy PoS. Počítačoví zločinci môžu škodlivý softvér zabaliť tak, aby ukradol údaje v akejkoľvek situácii, keď sú informácie zvyčajne šifrované, povedal Sutton.
Spoločnosť Visa vydala v apríli a auguste minulého roka dve bezpečnostné upozornenia, ktoré varovali obchodníkov pred útokmi pomocou škodlivého softvéru PoS na analýzu pamäte. „Od januára 2013 spoločnosť Visa zaznamenala nárast sieťových útokov týkajúcich sa maloobchodných predajcov, “ uviedol Visa v auguste.
Nie je jasné, ako sa malware dostal do siete Target, ale je zrejmé, že sa niečo nepodarilo. Malvér nebol nainštalovaný iba na jednom systéme PoS, ale na mnohých počítačoch v celej krajine a „nikto si toho nevšimol“, povedal Sutton. A aj keby bol malware príliš nový na to, aby ho antivírus mohol odhaliť, skutočnosť, že prenášal údaje zo siete, by mala spôsobiť červené vlajky.
Pre jednotlivých nakupujúcich nie je použitie kreditných kariet v skutočnosti možnosťou. Preto je dôležité pravidelne sledovať výkazy a sledovať všetky transakcie na ich účtoch. „Musíte dôverovať maloobchodníkom s vašimi údajmi, ale môžete tiež zostať ostražití, “ povedal Sutton.