Škoda pri vdoru v Target v stotinah milijonov dolarjev

Matej Huš

8. feb 2014 ob 13:54:32

Programsko orodje BlackPOS, ki so ga za zdaj še neznani napadalci uporabili pri kraji številk kreditnih kartic in magnetnih zapisov ameriškemu trgovcu Target, so varnostni strokovnjaki prečesali podolgem in počez. Ugotavljajo, da gre za zelo sofisticiran kos programske opreme.

Sprva se je v medijih pisalo, da je BlackPOS memory scrapper, torej da spremlja vsebino pomnilnika in shranjuje uporabne informacije. To je načeloma res, a BlackPOS je zelo dodelan in izbirčen (tehnične podrobnosti). Verzija, ki so jo napadalci uporabili v Targetu, je bila prilagojena tamkajšnji programski opremi, saj je točno vedela, kje v pomnilniku so podatke s kartice in je shranjevala izključno številke kreditnih kartic in magnetni zapis z njih.

Zbrane podatke je prenašal na strežnik v lokalnem omrežju (z lokalnim naslovom 10.116.240.31), pri čemer je uporabljal uporabniško ime Best1_user. To je zanimivo zato, ker enako uporablja programska oprema Performance Assurance for Microsoft Servers podjetja BMC Software. V podjetju pojasnjujejo, da gre za povsem benigno uporabniško ime, saj se z njim ni mogoče prijaviti v sistem, ampak služi le avtomatičnemu poganjanju skript. Poudarjajo, da so napadalci uporabili to ime, a da napad ni povezan s programsko opremo BMC, s čimer se strinjajo tudi strokovnjaki. Kakorkoli, strežnik je potem podatke odposlal na več FTP-strežnikov, ne le v Rusijo, kot smo poročali na začetku.

Brian Krebs se je ta teden pogovarjal s Tomom Arnoldom in Paulom Guthriejem iz podjetja PSC, ki sta že v začetku leta 2013 analizirala orodje BlackPOS. To orodje so napadalci že uporabili, očitno pa so ga za Target prilagodili, saj Target uporablja lasten sistem za opravljanje plačil. Odtekanja podatkov pa niso opazili, ker so napadalci številke kreditnih kartic pred pošiljanjem v svet šifrirali.

Klobčič se počasi razpleta. Neuradno naj bi se vdor zgodil z uporabo prijavnih podatkov, ki jih je za sistem Target dobilo podjetje Fazio. Omenjeno podjetje je v Targetovih trgovinah upravljalo sisteme HVAC (ogrevanje, prezračevanje, klimatiziranje). Predstavniki podjetja Fazio so potrdili, da jih je obiskala ameriška Tajna služba, ki tudi preiskuje vdor. Napadalci naj bi izmaknili prijavne podatke iz Fazia, potem pa se med 15. in 27. novembrom povezali v omrežje Target. Po tem krajšem preizkusu so ugotovili, da njihova orodja delujejo, zato se je 27. novembra začel organiziran napad na praktično vse Targetove poslovalnice. Spomnimo, da so do 15. decembra, uspeli odnesti osebne in bančne podatke 110 milijonov strank. Odprto ostaja vprašanje, zakaj je imel Fazio geslo za dostop do celotnega sistema, če so urejali HVAC. V izjavi za javnost so zapisali, da je bila njihova podatkovna povezava do Targetova sistema omejena na elektronsko izstavljanje računov, izmenjavo pogodb in urejanje projekta. Target ni edina njihova stranka, a pri drugih težav z vdori ni bilo.

Škoda, ki jo je utrpel Target, presega 420 milijonov dolarjev, vključuje pa povračila škode na kreditnih karticah, asistenco strankam in nadzor za preprečitev zlorab (credit monitoring) ter potencialno tudi globe, ki jih lahko dobijo od PCI. Trenutni standard namreč terja dvostopenjsko avtentifikacijo pri oddaljeni prijavi tudi za podizvajalce (v tem primeru Fizio), česar Target ni implementiral. Za primerjavo: 420 milijoni dolarjev je več, kot znaša trenutno ocenjena škoda zaradi žledu. Prav tako bo Target nadgradil svoje sisteme, da bodo izrabljali moderne kartice s čipi, kar bo stalo dodatnih 100 milijonov dolarjev.