כיצד גירוד איל זדוני גנב תוכנות מהיעד, ניימן מרקוס

בעוד ש- Target עדיין שומרת על אמא כיצד התוקפים הצליחו להפר את הרשת שלה ולהבריף מידע השייך ליותר מ -70 מיליון קונים, אנו יודעים כעת כי תוכנה זדונית של גרוטאות RAM שימשה בפיגוע.

מנכ"ל היעד, גרג שטיינאפל, אמר כי "איננו יודעים את מלוא העניין של מה שהתרחש, אך מה שאנו יודעים הוא שהותקנה תוכנה זדונית ברישומי נקודת המכירה. עד כה הקמנו". רשת CNBC דנה בהפרה האחרונה. החברה הודיעה בתחילה כי מידע על כרטיסי התשלום עבור 40 מיליון איש שרכשו באחד משקעי השיווק שלה במהלך תקופת החגים נפגע. טארגט אמר בשבוע שעבר כי נגנבו גם מידע אישי עבור 70 מיליון איש וכי כל קונה שהגיע לחנויות בכל שנת 2013 נמצא בסיכון.

מקורות ללא שם אמרו לסוכנות הידיעות רויטרס בסוף השבוע כי התוכנה הזדונית ששימשה בתקיפה הייתה מגרד RAM. מגרד זיכרון RAM הוא סוג ספציפי של תוכנה זדונית אשר ממקדת למידע המאוחסן בזיכרון, לעומת מידע שנשמר בכונן הקשיח או מועבר דרך הרשת. אמנם סוג זה של תוכנות זדוניות אינו חדש, אך מומחי האבטחה טוענים כי לאחרונה עלה מספר התקפות נגד קמעונאים המשתמשים בטכניקה זו.

תוקף זיכרון

מגרדי זיכרון RAM מסתכלים בזיכרון המחשב כדי לתפוס נתונים רגישים בזמן שהוא מעובד. על פי הכללים הנוכחיים של כרטיסי התשלום לתעשיית נתונים (PCI-DSS), יש להצפין את כל פרטי התשלום כאשר הוא מאוחסן במערכת PoS וכן בעת ​​העברתם למערכות אחוריות. בעוד שתוקפים עדיין יכולים לגנוב את הנתונים מהכונן הקשיח, הם לא יכולים לעשות איתם כלום אם הם מוצפנים, והעובדה שהנתונים מוצפנים תוך כדי נסיעה ברשת פירושה שתוקפים לא יכולים לרחרח את התנועה כדי לגנוב שום דבר.

המשמעות היא שיש רק חלון הזדמנויות קטן - הרגע בו תוכנת PoS מעובדת את המידע - עבור התוקפים לתפוס את הנתונים. על התוכנה לפענח את הנתונים באופן זמני כדי לראות את מידע העסקה, והתוכנה הזדונית מנצלת את הרגע הזה כדי להעתיק את המידע מהזיכרון.

העלייה בכלי זדוני גירוד RAM יכולה להיות קשורה לעובדה שקמעונאים משתפרים בהצפנת נתונים רגישים. מייקל סאטון, סגן נשיא למחקר אבטחה ב- Zscaler, אמר כי "זה מרוץ חימוש. אנחנו זורקים מחסום ותוקפים מסתגלים ומחפשים דרכים אחרות לתפוס את הנתונים.

רק עוד תוכנות זדוניות

חשוב לזכור כי מסופי נקודת מכירה הם למעשה מחשבים, אם כי ציוד היקפי כגון קוראי כרטיסים ומקלדות לוח מחוברות. יש להם מערכת הפעלה ומפעילים תוכנה לטיפול בעסקאות המכירה. הם מחוברים לרשת להעברת נתוני עסקאות למערכות אחוריות.

וכמו כל מחשב אחר, מערכות PoS יכולות להידבק בתוכנה זדונית. "חוקים מסורתיים עדיין חלים", אמר צ'סטר ויסניבסקי, יועץ ביטחון בכיר בסופוס. מערכת ה- PoS יכולה להידבק מכיוון שהעובד השתמש במחשב זה כדי לעבור לאתר אינטרנט המארח את התוכנה הזדונית, או בפתח בטעות קובץ מצורף זדוני למייל. התוכנה הזדונית יכולה הייתה לנצל תוכנה שלא הוצגה במחשב, או בכל אחת מהשיטות הרבות שגורמות למחשב להידבק.

"ככל שיש לעובדי החנויות פחות חיסיון במסופי נקודת המכירה, כך סביר להניח שהם יידבקו", אמר ויסנייבסקי. מכונות המעבדות תשלומים רגישות במיוחד ואינן צריכות לאפשר גלישה באינטרנט או התקנת אפליקציות לא מורשות, אמר.

ברגע שהמחשב נגוע, התוכנה הזדונית מחפשת סוגים מסוימים של נתונים בזיכרון - במקרה זה, מספרי אשראי וכרטיסי חיוב. כאשר הוא מוצא את המספר, הוא שומר אותו בקובץ טקסט המכיל את רשימת כל הנתונים שכבר אספו. בשלב מסוים התוכנה הזדונית שולחת את הקובץ - בדרך כלל דרך הרשת - למחשב של התוקף.

מישהו הוא יעד

בעוד שקמעונאים מהווים כיום יעד לניתוח תוכנות זדוניות, ויסניבסקי אמר כי כל ארגון המטפל בכרטיסי תשלום יהיה פגיע. סוג זה של תוכנות זדוניות שימש בתחילה בתחומי האירוח והחינוך, אמר. סופוס מתייחס למגרדי זיכרון RAM כאל טראקר טרויאני, וספקים אחרים מכנים אותם אלינה, דקסטר ו- Vskimmer.

למעשה, מגרדי RAM אינם ספציפיים למערכות PoS בלבד. פושעי הסייבר יכולים לארוז את התוכנה הזדונית לגניבת נתונים בכל מצב בו המידע בדרך כלל מוצפן, אמר סאטון.

ויזה פרסמה שתי התראות אבטחה באפריל ובאוגוסט בשנה שעברה, שהזהירה את הסוחרים מפני התקפות באמצעות ניתוח זדוני PoS. "מאז ינואר 2013, ויזה ראתה עלייה בפריצות הרשת בהן מעורבים סוחרים קמעונאיים", אמרה ויזה באוגוסט.

לא ברור כיצד התוכנה הזדונית הגיעה לרשת של Target, אך ברור שמשהו נכשל. התוכנה הזדונית לא הותקנה רק במערכת PoS אחת, אלא במחשבים רבים ברחבי הארץ, ו"איש לא שם לב ", אמר סאטון. וגם אם התוכנה הזדונית הייתה חדשה מכדי שאנטי-וירוס יגלה אותה, העובדה שהיא מעבירה נתונים מהרשת הייתה צריכה להעלות דגלים אדומים, הוסיף.

עבור הקונה הבודד, אי שימוש בכרטיסי אשראי אינו באמת אפשרות. זו הסיבה שחשוב לעקוב באופן קבוע אחר ההצהרות ולעקוב אחר כל העסקאות בחשבונותיהם. "אתה צריך לסמוך על הקמעונאים עם הנתונים שלך, אבל אתה יכול גם לשמור על ערנות", אמר סאטון.