Video: Second Life - The retrofit of a crossbelt sorter (September 2024)
Medan Target fortfarande håller mamma på hur attackerare lyckades bryta med sitt nätverk och samla in information som tillhör mer än 70 miljoner kunder, vet vi nu att RAM-skrapning av skadlig programvara användes i attacken.
"Vi vet inte hela utsträckningen av vad som hände, men vad vi vet är att det var skadlig programvara installerad i våra försäljningsställen. Så mycket vi har upprättat, " säger Target CEO Gregg Steinhafel i en intervju med CNBC diskuterar det senaste brottet. Företaget sade inledningsvis betalkortsinformation för 40 miljoner människor som handlade på ett av dess butiker under semestern var komprometterade. Target sade förra veckan att personlig information för 70 miljoner människor också stulits, och att alla shoppare som kom till butikerna under hela 2013 riskerade.
Namnlösa källor berättade för Reuters under helgen att skadlig programvara som användes i attacken var en RAM-skrapa. En RAM-skrapa är en specifik typ av skadlig programvara som riktar sig till information lagrad i minnet, i motsats till information som sparats på hårddisken eller som överförs via nätverket. Även om den här typen av skadlig programvara inte är ny, säger säkerhetsexperter att antalet attacker mot återförsäljare som använder denna teknik nyligen har uppstått nyligen.
Attackera minne
RAM-skrapor tittar in i datorns minne för att ta tag i känslig data medan den bearbetas. Enligt gällande betalningskort Industry-Data Security Standard (PCI-DSS) regler måste all betalningsinformation krypteras när den lagras i PoS-systemet samt när den överförs till back-end-system. Även om angripare fortfarande kan stjäla data från hårddisken, kan de inte göra någonting med den om den är krypterad, och det faktum att informationen är krypterad när de reser över nätverket innebär att angripare inte kan sniffa trafiken för att stjäla någonting.
Detta innebär att det bara finns ett litet möjlighetsfönster - det ögonblick när PoS-programvaran bearbetar informationen - för angripare att ta tag i informationen. Programvaran måste tillfälligt dekryptera informationen för att se transaktionsinformationen, och skadlig programvara utnyttjar det ögonblicket för att kopiera informationen från minnet.
Ökningen av RAM-skrotande skadlig programvara kan knytas till det faktum att detaljhandlare blir bättre på att kryptera känslig data. "Det är en vapenkapplöpning. Vi kastar upp en vägspärr och angriparna anpassar sig och letar efter andra sätt att ta tag i uppgifterna, " säger Michael Sutton, vice ordförande för säkerhetsforskning på Zscaler.
Just Another Malware
Det är viktigt att komma ihåg att terminaler för försäljning i huvudsak är datorer, även om kringutrustning som kortläsare och knappsatser är anslutna. De har ett operativsystem och kör programvara för att hantera försäljningstransaktionerna. De är anslutna till nätverket för att överföra transaktionsdata till back-end-system.
Och precis som alla andra datorer kan PoS-system infekteras med skadlig programvara. "Traditionella regler gäller fortfarande", säger Chester Wisniewski, senior säkerhetsrådgivare på Sophos. PoS-systemet kan smittas eftersom anställden använde den datorn för att gå till en webbplats som är värd för skadlig programvara eller av misstag öppnade en skadlig bilaga till ett e-postmeddelande. Den skadliga programvaran kan ha utnyttjat oöverträffad programvara på datorn, eller någon av de många metoderna som resulterar i att en dator smittades.
"Ju mindre privilegium butiksarbetarna har på försäljningsterminalerna, desto mindre troligt kommer de att smittas, " sa Wisniewski. Maskiner som bearbetar betalningar är extrakänsliga och bör inte tillåta surfing på webben eller installation av obehöriga applikationer, sade han.
När datorn har infekterats söker skadlig programvara efter specifika typer av data i minnet - i detta fall kredit- och betalkortsnummer. När det hittar numret sparar den det i en textfil som innehåller listan med alla data som det redan har samlat in. Vid någon tidpunkt skickar skadlig kod sedan filen - vanligtvis över nätverket - till angriparens dator.
Någon är ett mål
Även om återförsäljare för närvarande är ett mål för minne-parsing malware, sa Wisniewski att alla organisationer som hanterar betalningskort skulle vara sårbara. Denna typ av skadlig programvara användes ursprungligen inom sektorerna gästfrihet och utbildning, sade han. Sophos hänvisar till RAM-skrapor som Trackr Trojan, och andra leverantörer kallar dem Alina, Dexter och Vskimmer.
Faktum är att RAM-skrapor inte är specifika för bara PoS-system. Cyberkriminella kan paketera skadlig programvara för att stjäla data i alla situationer där informationen vanligtvis är krypterad, sade Sutton.
Visa utfärdade två säkerhetsvarningar i april och augusti förra året varnar handlare för attacker med hjälp av minne-parsing PoS malware. "Sedan januari 2013 har Visa sett en ökning av nätintrång med detaljhandlare, " sade Visa i augusti.
Det är inte klart hur skadlig programvara kom in på Targets nätverk, men det är tydligt att något misslyckades. Malware installerades inte bara på ett PoS-system, utan på många datorer runt om i landet, och "ingen märkte det, " sade Sutton. Och även om skadlig programvara var för ny för att antivirusprogram skulle kunna upptäcka det, skulle det faktum att det överförde data från nätverket ha tagit upp röda flaggor, tillade han.
För den enskilda shopparen är inte egentligen ett alternativ att använda kreditkort. Det är därför det är viktigt att regelbundet övervaka uttalanden och spåra alla transaktioner på deras konton. "Du måste lita på återförsäljarna med dina uppgifter, men du kan också vara vaken, " sade Sutton.
