Podrobnosti o napadu na Target

Matej Huš

18. jan 2014 ob 11:28:30

Počasi na internet curljajo informacije, kaj se je novembra in decembra dogajalo v POS-terminalih ameriškega trgovca Target, ki so mu zlikovci izmaknili osebne in bančne podatke 110 milijonov strank. Ta teden smo izvedeli, da so uporabljali program, ki se je skril v POS-terminale in neposredno iz pomnilnika bral dešifrirane podatke s kartic, Brian Krebs in McAfee pa sta raziskala podrobnosti.

Krebs ugotavlja, da ne gre za nov napad. Napadalci so uporabili že nekaj časa znan kos programske opreme, ki se na ilegalnih straneh prodaja pod imenom BlackPOS za okrog dva tisoč dolarjev (okleščene verzije so nekoliko cenejše, obširnejše pa nekoliko dražje). Napisal ga je neznanec z vzdevkom Antikiller in meri 207 kB. V Targetu so uporabili malenkostno prilagojeno kodo iz BlackPOS-a, ki jo Symantec imenuje Reedum, znana pa je tudi pod imenom procesa v Windows, ki ga sproži - poswds.

Pomembnejše je vprašanje, kako so nepridipravi omenjen kos programske opreme spravili na POS-terminale v Target. Trgovec izjav ne daje, a viri, ki so z incidentom seznanjeni, so razkrili nekatere podrobnosti. Zlikovci so najprej vdrli v Targetovo omrežje, kjer so vzpostavili nadzorno-krmilni strežnik in vzdrževali dostop do njega. Prek tega strežnika so potem napadli POS-e (ni še čisto jasno, kaj je teklo na njih, predvideva pa se, da Windows XP Embedded oziroma Windows Embedded for Point of Service), ki so nazaj na ta strežnik pošiljali podatke o transakcijah.

Krebs je vse skupaj še nekoliko bolj razdelal v drugi analizi. Program na POS-terminalih je podatke najprej zbral in se potuhnil. Šele po šestih dneh so iz Targetovega sistema prek drugega okuženega računalnika romali na zunanji FTP-strežnik. To se je začelo dogajati 2. decembra in v naslednjih dveh tednih so počasi in neopazno prenesli za 11 GB zbranih podatkov. Strežnik, kamor so podatki tekli, jih seveda nima več, analize pa kaže, da je bil napad na Target izoliran. Vdori v Neiman Marcus in še tri neimenovane trgovce, o katerih je poročal Reuters, niso tekli prek istih strežnikov.

Omeniti velja, da je bila zlonamerna programska oprema, čeravno izpeljana iz BlackPOS, v času napada praktično neizsledljiva. Protivirusni programi je niso zaznali, izogibala pa se je tudi požarnim zidom. Še danes veliko protivirusnih programov tega paketa ne zazna, ugotavlja Krebs. Ni pa še znano, kako so napadalci dobili začetni dostop do Targetovega sistema.

Nadaljuje pa se tudi lov na Antikillerja, ki je napisal BlackPOS. Analiza videoposnetka, ki ga je priobčil na splet, je pokazala, da se v delčku sekunde na zaslonu pojavi naslov do ruskega facebooka Vkontakte.ru. Predvidevamo, da je avtor Rus oziroma skupina mladih Rusov (v zgodnjih 20. letih), ki uporabljajo omenjeno stran.