Нарушение Target включенная двухэтапная кибератака: исследователи в области безопасности

target

Фирмы безопасности отправили подробные данные вредоносного программного обеспечения, используемого в нарушении Target и как атакующие передали данные за пределами компании.Новые подробные данные появились в крупном компромиссе розничных систем Target гиганта, которые привели к утечке десятков миллионов кредита – и счета дебетовой карты.Когда Target подтвердил нарушение своих систем 19 декабря, компания выпустила немного подробных данных вредоносного программного обеспечения и тактики, используемой в нападении. За прошлую неделю, однако, исследователи в области безопасности обнаружили вероятное вредоносное программное обеспечение, используемое атакующими, а также методом, которым воры данных получили украденную информацию из сети Target.

16 января, фирма безопасности, Секьюлрт показал, что она нашла Интернет-сервер, что атакующий раньше в качестве коммуникационного концентратора получал информацию из сайта отбрасывания в собственной сети Target. Атакующие очевидно собрали украденные данные по поставившему под угрозу серверу Target и затем использовали поставивший под угрозу веб-сайт для захвата данных, запускающихся 2 декабря, заявил Секьюлрт в анализе.

«Они смогли пропитать сеть (Target) и затем установить несколько машин как часть экс-фильтрации данных», сказал Ави Рэфф, главный инженер для Seculert, eWEEK в почтовом интервью. «Поскольку это – две кражи нападения этапа, данные PoS от машины, не подключенной к Интернету, затем перемещают их в другую машину, которая может отправить данные в FTP (сервер) – это, действительно кажется, сложно».Запускаясь 2 декабря, вредоносное программное обеспечение начало передавать кэш украденных данных вне сети к серверу набора. Используя виртуальный частный сервер в России, атакующие тогда загрузили информацию.

Украденные данные, просуммированные 11GBs, по данным Seculert.К тому времени, когда компания смогла проанализировать поставивший под угрозу веб-сервер, информация была удалена из сервера, но файлы журнала все еще показали, что крупные суммы информации были получены из интернет-адреса в собственной сети Target.Symantec и другие фирмы идентифицировали программу как дериватив вредоносного программного обеспечения BlackPOS, которое среди других функций может «очистить» информацию от памяти поставившего под угрозу торгового терминала, в то время как это не зашифровано.

Исследователь в области безопасности и журналист Брайан Кребс сначала сообщили о нарушении Target и той безопасности, фирмы идентифицировали вредоносное программное обеспечение 15 декабря.Нарушение Target не является изолированным инцидентом: у среднего ритейлера есть семь заражений, связывающихся из его сети, согласно анализу 1 035 отличных компромиссов в 139 ритейлерах, выполненных фирмой безопасности BitSight. Самое распространенное вредоносное программное обеспечение, известное как Neurevt, составило почти 250 из заражений, найденная компания.В целом, розничный сектор, кажется, имеет значительные проблемы с вредоносным программным обеспечением, заявили Стивен Бойер, соучредитель и CEO BitSight, в сообщении в блоге.

«Что ясно, то, что у многих американских ритейлеров были уязвимости, которые привели к поставившим под угрозу системам, которые были или в настоящее время являются объектом управления удаленного противника», заявил Бойер. «Не на все эти организации повлияют одинаково и могут не начать конкурировать с масштабом потери в Target; тем не менее, доказательство убедительно предполагает, что Target и Neiman Marcus не являются одними».


6 комментариев к “Нарушение Target включенная двухэтапная кибератака: исследователи в области безопасности”

Оставьте комментарий