Cómo hackers robaron los datos de su tarjeta de crédito en el ataque cibernético en las tiendas Target

Bienvenido de nuevo, mis hackers novatos!

Como casi todo el mundo ha oído hablar, Target Corporation, uno de los minoristas más grandes de los EE.UU. y Canadá, fue hackeado a finales del año pasado y potencialmente 100 millones de tarjetas de crédito se han comprometido. Happening justo antes de Navidad, se humedeció severamente las ventas de Target Navidad, reputación y precio de las acciones (valor de la empresa se ha reducido en $ 5B).

Aunque los detalles son todavía muy poco precisa en este momento, voy a tratar de llenar en lo que hemos aprendido acerca de este ataque de detalles filtrados. Target y sus investigadores forenses en iSight aún no han divulgado ningún detalle, pero algunas fuentes confiables tener información sobre lo que realmente ocurrió. Voy a tratar de hacer un poco de sentido de esos datos incompletos para revelar lo que probablemente sucedió.

El ataque de la blanco de los Titulares

El 19 de diciembre 2013, Target anunció que el Punto de Venta (POS) en sus tiendas "ladrillo y mortero" había sido comprometida. Curiosamente, su sitio Web Target.com no se ha visto comprometida. Al parecer, alguien había colocado un día cero explotar en los terminales de punto de venta y fue recogiendo la tarjeta de crédito e información personal.

Algunos sospecharon inmediatamente un skimmer tarjeta de dispositivo-esos pequeños dispositivos que discretamente se pueden colocar en las máquinas de escaneo de tarjetas de crédito (ATMs siendo un objetivo enorme) para capturar los datos magnéticos en la avenida principal de la tarjeta.

Esta teoría se disipó de inmediato por el hecho de que casi todos los sistemas POS en todas las tiendas de Target se ve comprometida, lo que significa que un dispositivo físico hubiera tenido que ha colocado en más de 10,000 ubicaciones físicas. Eso parece muy poco probable.

Esto es lo que sabemos ahora sobre la Brecha Target

En primer lugar, el ataque parece haber venido de Europa del Este, probablemente, Rusia o Ucrania. Aunque los investigadores forenses pueden rastrear la dirección IP de esa región, los atacantes a menudo "rebote" de su ataque de los servidores proxy en esa parte del mundo. Esto haría que se vea como si viniera de allí, pero fácilmente podría haber venido de Peoria, IL o en cualquier otro lugar en América del Norte.

Dicho esto, gran parte de la ciber-delincuencia relacionada con el robo de tarjetas de crédito provienen de las antiguas repúblicas de la Unión Soviética en gran parte debido a que están más allá del alcance de los EE.UU. y la aplicación de la ley de otras naciones. Además, no tienen tratados de extradición con Occidente.

Más apoyo para la fuente rusa del ataque es que el malware utilizado había sido visto a la venta en los meses de cibercrimen en el mercado negro ruso antes del ataque. Además, cuando se examinó el malware, los comentarios en el código eran en ruso.

Esto no significa necesariamente que el ataque vino de Rusia, ya que cualquiera podría haber comprado el software y lo ha utilizado, pero es una fuerte evidencia circunstancial.

El Zero-Day Exploit que se utilizó

Debido a que el malware era un exploit de día cero, no anti-malware o NIDSdetectado. Antivirus, sistemas anti-malware y de IDS dependen de conocidasfirmas de malware conocido, como hemos aprendido en mi guía en la evasión de Snort , el líder de IDS / IPS.

Si una pieza de malware nunca se ha visto en la naturaleza, entonces la firma no existe en ninguna base de datos anti-malware para detectarlo. Además, incluso si existiera una firma, es bastante fácil de cambiar la firma por mutación y / o re-codificación, como he demostrado en mi tutorial sobre cómo cambiar las firmas de carga útil Metasploit y disfrazar una firma de explotar .

Ahora parece que un joven de 17 años de edad, de San Petersburgo, Rusia ha desarrollado el software que ha sido nombrado BlackPOS. Apareció por primera vez en el mercado negro en torno a marzo del año pasado. Esto no significa necesariamente que en realidad llevó a cabo la violación de la seguridad. Lo más probable (como suele suceder en estas situaciones), simplemente desarrolló el código y luego lo vendió al mejor postor.

Target Had sistemas Windows sin parches

Parece que Target utilizaba sistemas operativos de Windows sin parches en sus sistemas de punto de venta. Esta es una muy mala idea, pero común.Obviamente, las vulnerabilidades de Windows están bien documentados y dejándolos sin parche está metiendo en problemas.

Al parecer, los desarrolladores de estos sistemas POS-como cualquier otro sistema utilizado para tomar las tarjetas de crédito-debe estar certificado PCI-DSS. Una vez que se certifiquen, si parche o una actualización del sistema operativo, que deben pasar por el proceso de certificación de nuevo. Como resultado de ello, son reacios a actualizar o el parche, ya que tendrían el tiempo adicional y el costo de re-certificación. Este anti-incentivo es claramente contrario a la intuición de los objetivos de PCI-DSS, pero ahí lo tienen.

Una idea mucho mejor hubiera sido desarrollar un sistema operativo propietario, donde se desconocen las vulnerabilidades (aumentar la seguridad por oscuridad), pero los desarrolladores de punto de venta no quieren invertir el tiempo y dinero para hacerlo. Siempre y cuando no lo hacen, ataques como éste probablemente continuarán.

Ataque Uno POS & Pivot para el Resto

Aparentemente, los atacantes comprometer un sistema en la red y luego giran de que un sistema a todos los sistemas de puntos de venta en la red de EE.UU. Target. Esto es muy similar a lo que acabamos de comentar en mi guía reciente sobre pivotante .

Este sistema podría estar en peligro por algo tan aparentemente inocuo como un enlace malicioso enviado por un correo electrónico o un archivo adjunto malicioso archivo PDF . Si una sola persona en la red hace clic en el enlace, es posible poner en peligro toda la red.

Exfiltrate (Eliminar) los datos a un servidor Web

Una vez que los atacantes tenían su malware en su lugar en todos los sistemas de punto de venta, que luego se trasladó a los datos a un servidor centralizado en la red de destino. A partir de ese repositorio, y cuando el sistema de Target fueron más activo, que exfiltraron los datos a un servidor web comprometido (parece que este servidor web fue cómplice inocente) en Rusia.

Esta fue aparentemente para ocultar la exfiltración. En otras palabras, por lo que la cantidad de datos normal se mueve en y hacia fuera sobre el tubo en ese momento que los ingenieros de seguridad no detectaron esta comunicación anómala. Probablemente fue también encriptada, por lo que la detección aún más difícil, ya que he demostrado en mi tutorial sobre exfiltrating datos cifrados con cryptcat .

Ahora sabemos que eran capaces de eliminar 11 GB de datos, y por el momento los investigadores forenses habían rastreado los datos al servidor web comprometida, que había sido limpiado.

Vender los números de tarjeta de crédito

Muchas veces, cuando los criminales cibernéticos robar información de tarjetas de crédito que en realidad no lo usan ellos mismos ya que es la forma más fácil quedar atrapado. En su lugar, prefieren venderlos en unmercado negro web profunda como números de crédito robadas. De esta manera, son capaces de cortafuegos a sí mismos de la pista si alguien queda atrapado usando un número de tarjeta robada.

En general, los números de tarjetas robados se venden por entre $ 5 y $ 50 cada uno, dependiendo de la calidad (American Express, Tarjetas Platinum, etc) y el límite de crédito. Esto significa que si 100 millones de tarjetas fueron robados de Target, la toma de los criminales podría oscilar entre $ 500 millones y $ 5000 millones!

El lunes 20 de enero de 2014, los funcionarios encargados de hacer cumplir la ley en Texas detuvo a dos ciudadanos mexicanos con 96 de estos números de la tarjeta en su poder. Está claro a partir de esta información que no sólo son los números que se venden, pero las tarjetas falsas se están generando con la información de la banda magnética robado a los clientes objetivo.

Y eso es lo que probablemente fue abajo

Como dije antes, no hay detalles oficiales fueron liberados todavía, pero esto es probablemente la forma en que se puso. A medida que los usos del objetivo sistemas POS vulnerables también se utilizan en otras cadenas, no me sorprendería si empezamos oír hablar de otras tiendas que se hackeado y en las próximas semanas. Sigue viniendo, mis piratas en ciernes, como voy a actualizar esta información a medida que aprendo más sobre este hack histórico