Video: RAM Scraping and Point of Sale Malware (Listopad 2024)
Zatímco Target stále drží maminku o tom, jak se útočníkům podařilo narušit její síť a zvednout informace patřící více než 70 milionům nakupujících, nyní víme, že při útoku byl použit malířský malware RAM.
"Nevíme, v jakém rozsahu se to stalo, ale víme, že v našich prodejních registrech byl nainstalován malware. Tolik jsme vytvořili, " uvedl v rozhovoru s ředitelem Target Gregg Steinhafel CNBC diskutuje o nedávném porušení. Společnost zpočátku uvedla, že informace o platebních kartách pro 40 milionů lidí, kteří nakupovali v některém z jejích maloobchodních prodejen během prázdnin, byly ohroženy. Target minulý týden uvedl, že byly odcizeny také osobní informace pro 70 milionů lidí a že každý zákazník, který do obchodů přišel ve všech letech 2013, byl ohrožen.
Nepojmenované zdroje informovaly agenturu Reuters o víkendu, že malware používaný při útoku byl škrabka RAM. Škrabka RAM je specifický typ malwaru, který cílí na informace uložené v paměti, na rozdíl od informací uložených na pevném disku nebo přenášených po síti. I když tato třída malwaru není nová, odborníci na bezpečnost tvrdí, že v poslední době došlo k nárůstu počtu útoků proti maloobchodníkům používajícím tuto techniku.
Útok na paměť
Škrabky RAM vypadají v paměti počítače a zachycují citlivá data během zpracování. Podle současných pravidel platebních karet Industry-Data Security Standard (PCI-DSS) musí být všechny platební informace šifrovány, jakmile jsou uloženy v systému PoS, stejně jako když jsou přenášeny do back-end systémů. Přestože útočníci mohou stále ukrást data z pevného disku, nemohou s nimi nic dělat, pokud je šifrováno, a skutečnost, že data jsou šifrována při cestování po síti, znamená, že útočníci nemohou vyčichat provoz a nic ukrást.
To znamená, že existuje jen malé okno příležitosti - okamžik, kdy software PoS zpracovává informace -, aby útočníci mohli data získat. Software musí dočasně dešifrovat data, aby se zobrazily informace o transakcích, a malware se v danou chvíli zmocní k zkopírování informací z paměti.
Nárůst malwaru RAM škrábajícího se může být spojen se skutečností, že maloobchodníci se lépe šifrují citlivá data. "Je to závod ve zbrojení. Vyhodíme zátaras a útočníci se přizpůsobí a hledají jiné způsoby, jak získat data, " řekl Michael Sutton, viceprezident bezpečnostního výzkumu v Zscaleru.
Jen další malware
Je důležité si uvědomit, že prodejní terminály jsou v podstatě počítače, i když s připojenými periferiemi, jako jsou čtečky karet a klávesnice. Mají operační systém a používají software pro zpracování prodejních transakcí. Jsou připojeni k síti pro přenos transakčních dat do back-end systémů.
A stejně jako jakýkoli jiný počítač mohou být systémy PoS napadeny malwarem. "Tradiční pravidla stále platí, " řekl Chester Wisniewski, vedoucí bezpečnostní poradce v Sophosu. Systém PoS může být infikován, protože zaměstnanec použil tento počítač k přístupu na web hostující malware nebo neúmyslně otevřel škodlivou přílohu k e-mailu. Malwar mohl využít nevyužitý software v počítači nebo jakoukoli z mnoha metod, které vedou k infikování počítače.
"Čím méně privilegií mají obchodníci na prodejních terminálech, tím menší je pravděpodobnost nakažení, " uvedl Wisniewski. Stroje, které zpracovávají platby, jsou mimořádně citlivé a neměly by umožňovat surfování po webu nebo instalaci neautorizovaných aplikací.
Jakmile je počítač infikován, malware vyhledá konkrétní typy dat v paměti - v tomto případě čísla kreditních a debetních karet. Když číslo najde, uloží jej do textového souboru obsahujícího seznam všech již shromážděných dat. V určitém okamžiku pak malware pošle soubor - obvykle po síti - do počítače útočníka.
Kdokoli je cíl
Zatímco maloobchodníci jsou v současné době cílem škodlivého softwaru pro analýzu paměti, Wisniewski řekl, že jakákoli organizace zpracovávající platební karty by byla zranitelná. Tento typ malwaru byl původně používán v sektorech pohostinství a vzdělávání, řekl. Sophos označuje škrabky RAM jako trójského koně a ostatní prodejci je nazývají Alina, Dexter a Vskimmer.
Ve skutečnosti nejsou RAM škrabky specifické pouze pro systémy PoS. Počítačoví zločinci mohou malware zabalit tak, aby ukradl data v jakékoli situaci, kdy jsou informace obvykle šifrovány, řekl Sutton.
Společnost Visa vydala v dubnu a srpnu loňského roku dvě bezpečnostní upozornění varující obchodníky před útoky pomocí škodlivého softwaru PoS. „Od ledna 2013 došlo k nárůstu narušení sítě Visa u maloobchodních obchodníků, “ uvedl v srpnu Visa.
Není jasné, jak se malware dostal do Targetovy sítě, ale je jasné, že něco selhalo. Malware nebyl nainstalován pouze na jednom systému PoS, ale na mnoha počítačích po celé zemi a „nikdo si toho nevšiml, “ řekl Sutton. A i když byl malware příliš nový na to, aby jej antivirus detekoval, skutečnost, že přenášel data ze sítě, měla zvýšit červené vlajky, dodal.
Pro jednotlivého nakupujícího není použití kreditních karet ve skutečnosti možností. Proto je důležité pravidelně sledovat výkazy a sledovat všechny transakce na jejich účtech. „Musíte důvěřovat obchodníkům s vašimi údaji, ale můžete také zůstat ostražití, “ řekl Sutton.
