Security Lab

Как взломали Target

Как взломали Target
В декабре прошлого года крупная сеть американских супермаркетов Target была взломана предположительно хакерами из Восточной Европы (Браян Кребс подозревает украинца Андрея Ходыревского из Одессы). В сеть утекли около 40 миллионов дампов кредитных карт, включая ПИН коды, +70 миллионов сведений о покупателях, включая ФИО, адрес, телефон и емаил.

Примерный ущерб от утечки для торговой сети составил 148 миллионов долларов. Из-за взлома в отставку ушли CEO и CIO.

На днях в сеть была выложена коллективная жалоба от пострадавших, включающая в себя некоторые детали взлома (см. стр. 58-66).

name='more'>

Хронология инцидента:

1. Через один из публичных корпоративных порталов Target хакеры нашли электронный ящик компании Fazio Mechanical Services - одного из подрядчиков Target,  обслуживавшего системы кондиционирования.
2. С помощью зараженного трояном Citadel электронного письма хакеры получили доступ к компьютеру Fazio. В качестве антивируса в Fazio использовали MBAM - малоизвестный бесплатный антивирус, предназначенный только для домашнего использования, который, по всей видимости, выявить трояна в письме не смог.
3. Используя реквизиты доступа Fazio, хакеры получили доступ к внутренним системам биллинга и управления проектами Target. Эти сервисы оказались в одной сети с платежными терминалами Target, построенными на базе ОС Windows. Все терминалы имели незаблокированную стандартную учетную запись (наверное речь идёт о локальном админе).

4. Хакеры заразили несколько терминалов вредоносным ПО и примерно 2 недели тестировали и отлаживали вирус.
5. 30 ноября хакеры загрузили вирус на большую часть платежных терминалов Target. Начался этап сбора платежной информации.
6. Примерно в это же время хакеры загрузили на сервер Target программу, предназначенную для сбора и передачи информации на сервера хакеров. Система антивирусной защиты Target (Symantec Endpoint Protection) сработала и выдала предупреждение персоналу. Предупреждение было проигнорировано. 30 ноября и 2 декабря Target так же получала предупреждения о вирусной активности внутри сети от FireEye, которые тоже были проигнорированы.
7. В течении 2х недель хакеры в реальном режиме времени собирали с платежных терминалов информацию об используемых банковских картах. Раз в 6 дней дампы пересылались "на сервера в Россию" (куда ж ещё...).
8. 11 декабря сэмпл малвари был загружен кем то на VirusTotal.
9. В тот же день на закрытых форумах стали продавать дампы карт. Американские банки начали внутреннее расследование.
10. 12 декабря Минюст США связался с Target по поводу утечки карт.
11. Только 15 декабря Target начал предпринимать действия по ликвидации утечки.
12. 18 декабря Браян Кребс написал свой пост, с которого начался публичный скандал по поводу взлома.

Необходимо так же отметить, что сеть Target была модернизирована в 2013 году компанией FireEye с целью усиления уровня информационной безопасности. В сентябре 2013 года за несколько месяцев до взлома Target прошел сертификацию на соответствие PCI DSS. Кроме того правительство США и платежная система Visa предупреждали торговые сети о возросшей опасности взлома и новом механизме кражи пинкода путем парсинга оперативной памяти платежного терминала на базе Windows.

Таким образом в ходе взлома Target были скомпрометированы следующие контроли информационной безопасности:
1. Система управления доступом к ресурсам информационной сети Target

  • отсутствовали требования к информационной безопасности рабочих мест контрагента; 
  • отсутствовала двухфакторная аутентификация субъектов доступа; 
  • доступ контрагентов к внутренним ресурсам Target не был ограничен служебной необходимостью;
  • на платежных терминалах имелись активные стандартные учётные записи, вероятно, с предсказуемым паролем по-умолчанию или без него;

2. Сегментирование локальной сети

  • платежные технологические процессы оказались в одном сетевом сегменте с информационными;
  • отсутствовали либо не были должным образом сформулированы правила межсетевого взаимодействия внутри корпоративной сети Target;
  • отсутствовал мониторинг сетевой активности между сегментами.
3. Антивирусная защита
  • анализ отчетов антивирусных средств не осуществлялся.
4. Организация службы информационной безопасности
  • отсутствовала работа с контрагентами компании в области обеспечения информационной безопасности;
  • отсутствовал мониторинг событий информационной безопасности;
  • система информационной безопасности компании не учитывала отраслевых требований и рекомендаций в области информационной безопасности (PCI DSS);
  • неудовлетворительная реакция ответственных лиц на сообщение о взломе.
Если бы компания Target исполнила бы любое из указанных выше требований, размер утечки был бы существенно ниже или взлома и вовсе можно было бы избежать. 

Выводы

Target знала о гипотетической возможности подобного взлома, существовали требования и рекомендации регуляторов, которые позволили бы избежать утечки, компания была оснащена необходимыми средствами защиты информации и инвестировала деньги в создание СИБ. 

Ключевым фактором утечки Target следует признать человеческий. Именно отсутствие профессиональных кадров по ИБ с должными полномочиями привело к тому, что существовавшая СИБ не сработала, отчеты антивирусных средств игнорировались, информацию об утечке просто не кому было принять и отреагировать.

Подобная ситуация, к сожалению, скорее правило чем исключение и в наших компаниях. Частенько оборудование, купленное за миллионы рублей, у нас простаивает, а сотрудники служб ИБ, набранные из бывших силовиков, используют ноутбук для пасьянса или косынки, послушно соглашаясь с любым предложением "бесплатно проверить компьютер на вирусы" или "скачать антивирус за смс". Поэтому центральное место в системе информационной безопасности стоит по праву отдать кадрам. Именно от них зависит будет ли работать СИБ, или же будет только числится.

Что еще почитать?

Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Артем Агеев

root@itsec.pro:~#