Страницы

Как взломали Target

В декабре прошлого года крупная сеть американских супермаркетов Target была взломана предположительно хакерами из Восточной Европы (Браян Кребс подозревает украинца Андрея Ходыревского из Одессы). В сеть утекли около 40 миллионов дампов кредитных карт, включая ПИН коды, +70 миллионов сведений о покупателях, включая ФИО, адрес, телефон и емаил.

Примерный ущерб от утечки для торговой сети составил 148 миллионов долларов. Из-за взлома в отставку ушли CEO и CIO.

На днях в сеть была выложена коллективная жалоба от пострадавших, включающая в себя некоторые детали взлома (см. стр. 58-66).



Хронология инцидента:

1. Через один из публичных корпоративных порталов Target хакеры нашли электронный ящик компании Fazio Mechanical Services - одного из подрядчиков Target,  обслуживавшего системы кондиционирования.
2. С помощью зараженного трояном Citadel электронного письма хакеры получили доступ к компьютеру Fazio. В качестве антивируса в Fazio использовали MBAM - малоизвестный бесплатный антивирус, предназначенный только для домашнего использования, который, по всей видимости, выявить трояна в письме не смог.
3. Используя реквизиты доступа Fazio, хакеры получили доступ к внутренним системам биллинга и управления проектами Target. Эти сервисы оказались в одной сети с платежными терминалами Target, построенными на базе ОС Windows. Все терминалы имели незаблокированную стандартную учетную запись, которая использовалась в сервисном ПО.

4. Хакеры заразили несколько терминалов вредоносным ПО и примерно 2 недели тестировали и отлаживали вирус.
5. 30 ноября хакеры загрузили вирус на большую часть платежных терминалов Target. Начался этап сбора платежной информации.
6. Примерно в это же время хакеры загрузили на сервер Target программу, предназначенную для сбора и передачи информации на сервера хакеров. Система антивирусной защиты Target (Symantec Endpoint Protection) сработала и выдала предупреждение персоналу. Предупреждение было проигнорировано. 30 ноября и 2 декабря Target так же получала предупреждения о вирусной активности внутри сети от FireEye, которые тоже были проигнорированы.
7. В течении 2х недель хакеры в режиме реального времени собирали с платежных терминалов информацию об используемых банковских картах. Раз в 6 дней дампы пересылались "на сервера в Россию" (куда ж ещё...).
8. 11 декабря сэмпл малвари был загружен кем то на VirusTotal.
9. В тот же день на закрытых форумах стали продавать дампы карт. Американские банки начали внутреннее расследование.
10. 12 декабря Минюст США связался с Target по поводу утечки карт.
11. Только 15 декабря Target начал предпринимать действия по ликвидации утечки.
12. 18 декабря Браян Кребс написал свой пост, с которого начался публичный скандал по поводу взлома.

Необходимо так же отметить, что сеть Target была модернизирована в 2013 году компанией FireEye с целью усиления уровня информационной безопасности. В сентябре 2013 года за несколько месяцев до взлома Target прошел сертификацию на соответствие PCI DSS. Кроме того правительство США и платежная система Visa предупреждали торговые сети о возросшей опасности взлома и новом механизме кражи пинкода путем парсинга оперативной памяти платежного терминала на базе Windows.

Таким образом в ходе взлома Target были скомпрометированы следующие контроли информационной безопасности:
1. Система управления доступом к ресурсам информационной сети Target

  • отсутствовали требования к информационной безопасности рабочих мест контрагента; 
  • отсутствовала двухфакторная аутентификация субъектов доступа; 
  • доступ контрагентов к внутренним ресурсам Target не был ограничен служебной необходимостью;
  • на платежных терминалах имелись активные стандартные учётные записи с фиксированным паролем;

2. Сегментирование локальной сети

  • платежные технологические процессы оказались в одном сетевом сегменте с информационными;
  • отсутствовали либо не были должным образом сформулированы правила межсетевого взаимодействия внутри корпоративной сети Target;
  • отсутствовал мониторинг сетевой активности между сегментами.
3. Антивирусная защита
  • анализ отчетов антивирусных средств не осуществлялся.
4. Организация службы информационной безопасности
  • отсутствовала работа с контрагентами компании в области обеспечения информационной безопасности;
  • отсутствовал мониторинг событий информационной безопасности;
  • система информационной безопасности компании не учитывала отраслевых требований и рекомендаций в области информационной безопасности (PCI DSS);
  • неудовлетворительная реакция ответственных лиц на сообщение о взломе.
Если бы компания Target исполнила бы любое из указанных выше требований, размер утечки был бы существенно ниже или взлома и вовсе можно было бы избежать. 

Выводы

Target знала о гипотетической возможности подобного взлома, существовали требования и рекомендации регуляторов, которые позволили бы избежать утечки, компания была оснащена необходимыми средствами защиты информации и инвестировала деньги в создание СИБ. 

Ключевым фактором утечки Target следует признать человеческий. Именно отсутствие профессиональных кадров по ИБ с должными полномочиями привело к тому, что существовавшая СИБ не сработала, отчеты антивирусных средств игнорировались, информацию об утечке просто не кому было принять и отреагировать.

Подобная ситуация, к сожалению, скорее правило чем исключение и в наших компаниях. Частенько оборудование, купленное за миллионы рублей, у нас простаивает, а сотрудники служб ИБ, набранные из бывших силовиков, используют ноутбук для пасьянса или косынки, послушно соглашаясь с любым предложением "бесплатно проверить компьютер на вирусы" или "скачать антивирус за смс". Поэтому центральное место в системе информационной безопасности стоит по праву отдать кадрам. Именно от них зависит будет ли работать СИБ, или же будет только числиться.

Что еще почитать?

3 комментария:

  1. "...сотрудники служб ИБ, набранные из бывших силовиков, используют ноутбук для пасьянса..."

    Грустно, но Вы правы.
    Не так давно проходили проверку силовиков, так их больше всего интересовала не реальная защита информационной сети, а наличии журналов и пломбиров (что, возможно, тоже нужно - но имхо вторично).

    ОтветитьУдалить
  2. Даже само руководство организации чаще всего интересует "бумажная - бесплатная" защита, от надзорных органов, чем от компьютерных мошенников.

    ОтветитьУдалить
    Ответы
    1. Вот для того такие посты и пишу. Вдруг одумаются :)

      Удалить