Video: Retail store malware identified; how it was apparently used to steal credit info (Kann 2024)
Während Target immer noch darüber nachdenkt, wie es Angreifern gelungen ist, das Netzwerk zu durchbrechen und Informationen von mehr als 70 Millionen Käufern aufzuspüren, wissen wir jetzt, dass bei dem Angriff RAM-Scraping-Malware verwendet wurde.
"Wir wissen nicht genau, was passiert ist, aber wir wissen, dass auf unseren Kassen Malware installiert ist. Das haben wir festgestellt", sagte Gregg Steinhafel, CEO von Target, in einem Interview mit CNBC diskutiert den jüngsten Verstoß. Das Unternehmen gab anfangs bekannt, dass Kreditkarteninformationen für 40 Millionen Menschen, die in der Weihnachtszeit in einem seiner Einzelhandelsgeschäfte eingekauft haben, kompromittiert wurden. Target teilte letzte Woche mit, dass auch persönliche Informationen für 70 Millionen Menschen gestohlen wurden und dass jeder Käufer, der 2013 in die Läden kam, einem Risiko ausgesetzt war.
Laut unbekannten Quellen handelte es sich bei der bei dem Angriff verwendeten Malware um einen RAM-Scraper, teilte Reuters am Wochenende mit. Ein RAM-Scraper ist eine bestimmte Art von Malware, die auf Informationen abzielt, die im Speicher gespeichert sind, im Gegensatz zu Informationen, die auf der Festplatte gespeichert sind oder über das Netzwerk übertragen werden. Obwohl diese Klasse von Malware nicht neu ist, gibt es laut Sicherheitsexperten in letzter Zeit mehr Angriffe auf Einzelhändler, die diese Technik verwenden.
Speicher angreifen
RAM-Scraper durchsuchen den Arbeitsspeicher des Computers nach sensiblen Daten, während diese verarbeitet werden. Nach den aktuellen PCI-DSS-Regeln (PCI-DSS = Payment Card Industry-Data Security Standard) müssen alle Zahlungsinformationen verschlüsselt werden, wenn sie auf dem POS-System gespeichert und an Back-End-Systeme übertragen werden. Während Angreifer die Daten von der Festplatte stehlen können, können sie nichts damit anfangen, wenn sie verschlüsselt sind. Die Tatsache, dass die Daten verschlüsselt sind, während sie über das Netzwerk übertragen werden, bedeutet, dass Angreifer den Datenverkehr nicht abhören können, um etwas zu stehlen.
Dies bedeutet, dass es nur ein kleines Zeitfenster gibt, in dem Angreifer die Daten abrufen können, sobald die PoS-Software die Informationen verarbeitet. Die Software muss die Daten vorübergehend entschlüsseln, um die Transaktionsinformationen anzuzeigen, und die Malware nutzt diesen Moment, um die Informationen aus dem Speicher zu kopieren.
Der Anstieg der Malware, mit der der Arbeitsspeicher überlastet wird, hängt damit zusammen, dass Einzelhändler sensible Daten immer besser verschlüsseln können. "Es ist ein Wettrüsten. Wir werfen eine Straßensperre auf und die Angreifer passen sich an und suchen nach anderen Möglichkeiten, um an die Daten zu gelangen", sagte Michael Sutton, Vizepräsident für Sicherheitsforschung bei Zscaler.
Nur eine weitere Malware
Es ist wichtig, sich daran zu erinnern, dass es sich bei Kassenterminals im Wesentlichen um Computer handelt, obwohl Peripheriegeräte wie Kartenleser und Tastaturen angeschlossen sind. Sie haben ein Betriebssystem und führen Software aus, um die Verkaufstransaktionen abzuwickeln. Sie sind mit dem Netzwerk verbunden, um Transaktionsdaten an Back-End-Systeme zu übertragen.
Und wie jeder andere Computer können auch PoS-Systeme mit Malware infiziert werden. "Es gelten immer noch die traditionellen Regeln", sagte Chester Wisniewski, ein leitender Sicherheitsberater bei Sophos. Das PoS-System kann infiziert werden, weil der Mitarbeiter diesen Computer zum Aufrufen einer Website verwendet hat, auf der die Malware gehostet wurde, oder aus Versehen einen böswilligen Anhang zu einer E-Mail geöffnet hat. Die Malware könnte nicht gepatchte Software auf dem Computer oder eine der vielen Methoden, die zur Infektion eines Computers führen, ausgenutzt haben.
"Je weniger Privilegien die Filialmitarbeiter an den Kassenterminals haben, desto unwahrscheinlicher ist es, dass sie infiziert werden", sagte Wisniewski. Rechner, die Zahlungen verarbeiten, seien besonders sensibel und dürften nicht das Surfen im Internet oder die Installation nicht autorisierter Anwendungen ermöglichen.
Sobald der Computer infiziert ist, sucht die Malware im Speicher nach bestimmten Datentypen, in diesem Fall nach Kredit- und Debitkartennummern. Wenn die Nummer gefunden wurde, wird sie in einer Textdatei gespeichert, die die Liste aller bereits gesammelten Daten enthält. Irgendwann sendet die Malware die Datei - normalerweise über das Netzwerk - an den Computer des Angreifers.
Jeder ist ein Ziel
Während Einzelhändler derzeit ein Ziel für das Parsen von Malware sind, ist laut Wisniewski jedes Unternehmen, das mit Zahlungskarten umgeht, anfällig. Diese Art von Malware wurde ursprünglich im Gastgewerbe und im Bildungssektor eingesetzt. Sophos nennt RAM-Scraper den Trackr-Trojaner, und andere Anbieter nennen sie Alina, Dexter und Vskimmer.
Tatsächlich sind RAM-Scraper nicht nur für PoS-Systeme spezifisch. Die Cyber-Kriminellen können die Malware verpacken, um Daten in jeder Situation zu stehlen, in der die Informationen normalerweise verschlüsselt sind, sagte Sutton.
Visa gab im April und August letzten Jahres zwei Sicherheitswarnungen heraus, in denen Händler vor Angriffen mit PoS-Malware zur Analyse des Arbeitsspeichers gewarnt wurden. "Seit Januar 2013 ist bei Visa eine Zunahme der Einbrüche von Einzelhändlern in das Netzwerk zu verzeichnen", sagte Visa im August.
Es ist nicht klar, wie die Malware in das Netzwerk von Target gelangt ist, aber es ist klar, dass etwas fehlgeschlagen ist. Die Malware wurde nicht nur auf einem PoS-System installiert, sondern auf vielen Computern im ganzen Land, und "niemand hat es bemerkt", sagte Sutton. Und selbst wenn die Malware zu neu war, als dass Antivirus sie erkennen könnte, hätte die Tatsache, dass Daten aus dem Netzwerk übertragen wurden, rote Fahnen werfen müssen, fügte er hinzu.
Für den einzelnen Käufer ist es keine Option, keine Kreditkarten zu verwenden. Aus diesem Grund ist es wichtig, die Kontoauszüge regelmäßig zu überwachen und alle Transaktionen auf ihren Konten zu verfolgen. "Sie müssen den Einzelhändlern Ihre Daten anvertrauen, aber Sie können auch wachsam bleiben", sagte Sutton.
