Злоумышленники, укравшие 40 млн номеров банковских карт из сети крупнейшего американского ритейлера Target, применили многоступенчатую атаку и вывели добычу через внешний FTP-сервер и VPS с российской пропиской. Процесс занял более двух недель, однако в итоге, по словам экспертов, грабителям удалось выкачать около 11 Гб данных.

По мере продвижения расследования декабрьский взлом Target, повлекший одну из самых масштабных утечек, продолжает обрастать интересными деталями. В начале января Target призналась, что кроме 40 млн номеров кредитных и дебетовых карт авторы сложной атаки украли персональные данные еще 70 млн покупателей. Позднее обнаружилось, что дерзкое ограбление было осуществлено посредством установки вредоносной программы на PoS-терминалы сотен магазинов сети Target. Как удалось определить, это кастомизированный вариант зловреда, известного как BlackPOS. В прошлом году ФБР зафиксировало около 20 случаев кражи данных с использованием аналогичных программ, а после скандальной истории с Target разослало американским торговцам предупреждение, призывая их усилить защиту от краж со взломом.

Исследователи из израильской компании Seculert проанализировали образец вредоносной программы, использованной против Target, и обнаружили, что зловред скрывался в сети почти неделю, прежде чем начал отсылать краденые данные на FTP-сервер скомпрометированного сайта. По свидетельству экспертов, эта информация перекачивалась со взломанной машины во внутренней сети жертвы.

«Дальнейший анализ атаки выявил следующее, — пишет в отчете Авив Рафф (Aviv Raff), технический директор Seculert. — 2 декабря зловред начал отсылать украденные данные на FTP-сервер стороннего сайта, по всей видимости, угнанного. Передача возобновлялась с периодичностью несколько раз в сутки, и так в течение двух недель. Тогда же, 2 декабря, инициаторы атаки начали выгружать краденую информацию с FTP на виртуальный выделенный сервер (VPS), размещенный в России. Они качали две недели и в целом вывели 11 Гб краденых клиентских данных».

По свидетельству экспертов, атаковавший Target зловред умеет перехватывать сохраненные на машине жертвы целевые данные за тот короткий период, когда они еще не зашифрованы. Этот функционал помогает ему обойти системы сквозного шифрования, которые иногда используются в розничной торговле для защиты клиентских данных, оседающих в PoS-системах в ожидании отправки на внутренний сервер и, возможно, платежный процессор. «Атакующие использовали несколько компонентов, — пояснил Рафф журналистам Threatpost. — Один из этих компонентов по поведению схож с BlackPOS, PoS-зловредом, использующим парсинг для выборки информации из памяти компьютера».

Рафф также заявил, что вопреки некоторым предположениям он не видит причин связывать поразившего Target зловреда с недавним взломом сети продавца элитных товаров Neiman Marcus: «Хотя на настоящий момент краденых данных на FTP-сервере уже нет, анализ открытых журналов регистрации доступа показывает, что Target является единственной жертвой. Никаких признаков сходства с атакой на Neiman Marcus пока не обнаружено».

Категории: Вредоносные программы, Главное, Хакеры