Исследователи обнаружили самый «навороченный» вирус, поражающий PoS-терминалы, — но уже после того, как тот обчистил миллионы кредиток в США в ходе сезона распродаж.

Жертвы взлома — «крупные ритейлеры» — не названы, но известно, что миллионы долларов были похищены с «многих миллионов» платежных карт.

Злоумышленники, ответственные за атаку, отличаются редким профессионализмом: они оставались незамеченными с конца 2013 года, и их действия были раскрыты только после многих часов мучительного реверс-инжиниринга кода, проведенного группой ИБ-экспертов. Кроме того, данный код не всплывал даже на хакерских форумах.

Эксперт из компании iSight Стив Уорд (Steve Ward) назвал зловреда «PoS-вирус на стероидах». «За восемь лет работы и исследований PoS-зловредов мы ни разу не сталкивались с таким опасным вирусом. Его код и инфраструктура — сложнейшие из всех на нашей памяти», — признался Уорд. Только одно из трех ядер ModPOS потребовало трех недель работы команды ИБ-аналитиков. К слову, обратный инжиниринг кода одного из последних подобных вирусов, Cherry Picker, занял всего 30 минут.

«Невероятно талантливые» авторы зловреда имеют глубокие познания в области безопасности, и этим они поразили исследователей.

Сам Уорд, будучи одним из известных исследователей, потратил «кучу времени и денег» на анализ каждого из модулей ModPOS — каждый из трех ведет себя как руткит, и его очень трудно распознать и анализировать. Методы, позволяющие зловреду избегать детектирования, очень сложны, и большинство компаний, попавших под прицел талантливых злоумышленников (которые, как считают эксперты, находятся в Восточной Европе), так и не узнают причины взлома. О возможной атаке предупреждены 80 крупнейших ритейлеров США.

Очевидно, зловред был создан специально для масштабной кампании, рассчитанной на большую прибыль. После обнаружения вируса хакерам, скорее всего, придется переписать часть кода, чтобы хотя бы частично обфусцировать его, но это будет намного сложнее, чем раньше.

Инфраструктура этой кампании зашифрована при помощи 128- и 256-битных протоколов, причем последний требует новый уникальный ключ для каждого клиента. Из-за этого крайне трудно выяснить, какие данные исчезают при краже (к примеру, другие PoS-зловреды передают эти данные в незашифрованном виде).

Специалисты уверены, что в будущем стоит ожидать новостей о взломах и утечках, связанных с этой атакой.

В последние недели стало известно о появлении целого ряда сложных PoS-зловредов, что является тревожной тенденцией в связи с сезоном массовых распродаж в США.

Категории: Вредоносные программы, Главное, Хакеры