Vidéo: Neiman Marcus System Raided By Russian Hackers (Novembre 2024)
Alors que Target ignore toujours la manière dont les attaquants ont réussi à violer son réseau et à transmettre des informations appartenant à plus de 70 millions d'acheteurs, nous savons maintenant que des logiciels malveillants grattant la mémoire vive ont été utilisés lors de l'attaque.
"Nous ne savons pas tout ce qui s'est passé, mais ce que nous savons, c'est qu'un malware a été installé sur nos registres de points de vente. C'est ce que nous avons établi", a déclaré le PDG de Target, Gregg Steinhafel, dans un entretien à CNBC discute de la récente violation. La société avait initialement déclaré que les informations de carte de paiement de 40 millions de personnes ayant effectué leurs achats dans l’un de ses points de vente au cours de la période des fêtes avaient été compromises. Target a déclaré la semaine dernière que des informations personnelles concernant 70 millions de personnes avaient également été volées et que tous les clients qui venaient dans les magasins en 2013 étaient en danger.
Des sources non identifiées ont déclaré à Reuters au cours du week-end que le malware utilisé dans l'attaque était un racleur de RAM. Un racleur RAM est un type de logiciel malveillant spécifique qui cible les informations stockées en mémoire, par opposition aux informations enregistrées sur le disque dur ou transmises sur le réseau. Bien que cette catégorie de logiciels malveillants ne soit pas nouvelle, les experts en sécurité affirment qu'il y a eu une augmentation récente du nombre d'attaques contre les détaillants utilisant cette technique.
Attaquer la mémoire
Les grattoirs de mémoire vive regardent à l'intérieur de la mémoire de l'ordinateur pour saisir des données sensibles pendant leur traitement. Selon les règles PCI-DSS (normes de sécurité des données de carte de paiement en vigueur), toutes les informations de paiement doivent être chiffrées lorsqu’elles sont stockées sur le système de point de vente et lorsqu’elles sont transférées vers des systèmes back-end. Bien que les attaquants puissent toujours voler les données du disque dur, ils ne peuvent rien faire s’il est crypté, et le fait que les données soient cryptées lorsqu’ils voyagent sur le réseau signifie que les attaquants ne peuvent pas renifler le trafic pour rien voler.
Cela signifie qu'il n'y a qu'une petite fenêtre d'opportunité (l'instant où le logiciel PoS traite les informations) pour que les attaquants puissent récupérer les données. Le logiciel doit décrypter temporairement les données pour voir les informations de transaction, et le logiciel malveillant en profite pour copier les informations de la mémoire.
L’augmentation du nombre de logiciels malveillants qui grattent la RAM peut être liée au fait que les détaillants parviennent de mieux en mieux à chiffrer les données sensibles. "C'est une course aux armements. Nous posons un obstacle, les assaillants s'adaptent et cherchent d'autres moyens de récupérer les données", a déclaré Michael Sutton, vice-président de la recherche sur la sécurité chez Zscaler.
Juste un autre malware
Il est important de se rappeler que les terminaux de point de vente sont essentiellement des ordinateurs, bien que des périphériques tels que des lecteurs de cartes et des claviers soient connectés. Ils ont un système d'exploitation et exécutent un logiciel pour gérer les transactions de vente. Ils sont connectés au réseau pour transférer les données de transaction aux systèmes dorsaux.
Et comme tout autre ordinateur, les systèmes de point de vente peuvent être infectés par des logiciels malveillants. "Les règles traditionnelles s'appliquent toujours", a déclaré Chester Wisniewski, conseiller principal en sécurité chez Sophos. Le système de point de vente peut être infecté parce que l'employé a utilisé cet ordinateur pour accéder à un site Web hébergeant le programme malveillant, ou a accidentellement ouvert une pièce jointe illicite dans un courrier électronique. Le logiciel malveillant aurait pu exploiter des logiciels non corrigés sur l'ordinateur, ou l'une des nombreuses méthodes permettant d'infecter un ordinateur.
"Moins les employés des magasins ont de privilèges sur les terminaux de point de vente, moins ils risquent d'être infectés", a déclaré Wisniewski. Les machines qui traitent les paiements sont extrêmement sensibles et ne devraient pas permettre la navigation sur le Web ou l'installation d'applications non autorisées, a-t-il déclaré.
Une fois que l'ordinateur est infecté, le logiciel malveillant recherche des types de données spécifiques en mémoire, dans ce cas, les numéros de cartes de crédit et de débit. Lorsqu'il trouve le numéro, il l'enregistre dans un fichier texte contenant la liste de toutes les données qu'il a déjà collectées. À un moment donné, le logiciel malveillant envoie ensuite le fichier, généralement sur le réseau, à l'ordinateur de l'attaquant.
Tout le monde est une cible
Alors que les détaillants sont actuellement une cible pour les logiciels malveillants d'analyse de la mémoire, Wisniewski a déclaré que toute organisation gérant des cartes de paiement serait vulnérable. Ce type de logiciel malveillant était initialement utilisé dans les secteurs de l'hôtellerie et de l'éducation, a-t-il déclaré. Sophos fait référence aux racleurs de RAM comme étant le cheval de Troie Trackr, et d’autres fournisseurs les appellent Alina, Dexter et Vskimmer.
En fait, les scrapers RAM ne sont pas spécifiques aux systèmes de PDS. Les cybercriminels peuvent empaqueter les logiciels malveillants pour voler des données dans toutes les situations où les informations sont généralement cryptées, a déclaré M. Sutton.
Visa a publié deux alertes de sécurité en avril et en août de l'année dernière pour avertir les marchands d'attaques utilisant des programmes malveillants de traitement de la mémoire utilisant des programmes malveillants. "Depuis janvier 2013, Visa a constaté une augmentation des intrusions sur le réseau impliquant des commerçants", a déclaré Visa en août.
La manière dont le logiciel malveillant est arrivé sur le réseau de Target n'est pas claire, mais il est clair que quelque chose a échoué. Le logiciel malveillant n'a pas été installé sur un seul système de point de vente, mais sur de nombreux ordinateurs du pays, et "personne ne s'en est aperçu", a déclaré M. Sutton. Et même si le logiciel malveillant était trop récent pour être détecté par l'antivirus, le fait qu'il transfère des données hors du réseau aurait dû déclencher des signaux d'alarme, a-t-il ajouté.
Ne pas utiliser de carte de crédit n'est pas vraiment une option pour l'acheteur individuel. C'est pourquoi il est important de surveiller régulièrement les relevés et de suivre toutes les transactions effectuées sur leurs comptes. "Vous devez faire confiance aux détaillants avec vos données, mais vous pouvez également rester vigilant", a déclaré Sutton.
