На прошлой неделе американские торговые компании Target и Neiman Marcus сообщили о масштабных взломах своих серверов и кражах клиентских данных и значительного количества пластиковых карт. Однако эти два ритейлера не стали единственными, кто был жертвами хакерских нападений и в среде американских ритейлеров есть как минимум еще одна розничная сеть, ставшая жертвой хакеров, но ее название пока не сообщается. В то же время Reuters пишет, что в скором времени сеть будет вынуждена заявить о масштабных утечках данных и ее название станет известно.
Также сообщается, что в рамках всех трех атак нападающие использовали одни и те же техники, а также предпочитали атаковать продавцов, имеющих большую сеть розничных точек, чтобы обнаружить хакеров было сложнее. Reuters отмечает, что на момент публикации данных ряд крупных американских ритейлеров не комметировал возможные сообщения об утечках данных.
Источники в среде силовых структур говорят, что во всех случаях нападающие применяли одну и ту же технику: они заражали POS-терминалы в магазинах и размещали на них вредоносное программное обеспечение, которое перехватывало платежные данные из оперативной памяти устройства. Данный метод в среде специалистов известен как RAM Scrapping, то есть вредоносное ПО запускается от имени администратора или того же пользователя, что и платежная процессинговая программа и получает доступ к отпечаткам оперативной памяти в режиме реального времени. Технически говоря, данные программы представляют собой разновидность решений для парсинга памяти, пишет cybersecurity.ru.
Эксперты говорят, что многие программы для обработки платежных данных во время передачи в сетях шифруют данные, однако они не шифруются в оперативной памяти, чем и пользуются похитители данных.
Источники Reuters говорят, что взломы всех трех американских розничных сетей были проведены, скорее всего, одной и той же группой людей, причем атака на Target была крупнейшей. В ее рамках хакеры получили доступ к данным почти 70 млн клиентов, которые расплачивались карточками в магазинах.
Телеканал CNBC взял интервью у генерального директора Target Грегга Стейнхейфела и тот подтвердил, что хакеры изначально проникли в сети компании через POS-терминалы, тогда как программное обеспечение для съема данных из оперативной памяти активно работало с 27 ноября по 15 декабря. Он отметил, что 15 декабря компания узнала о факте взлома и с тех пор начала проводить глобальную зачистку своих ИТ-подсистем. Он сообщил, что на удаление программ-вредоносов из POS-терминалов ушло несколько часов и вечером 15 декабря кража данных уже была прекращена.
Глава компании заявил, что около 4 суток Target вела собственные расследования и анализ всех информационных систем.
Reuters отмечает, что взломом могли быть затронуты и другие розничные компании, так как все они используют примерно одно и то же торговое оборудование.
