Анализ атаки на компанию Target

Стартап Aorato опубликовал отчет о масштабной утечке данных клиентов компании Target, произошедшей в конце 2013 года, в котором пошагово описываются используемые злоумышленниками техники осуществления атаки.

С тех пор, как стало известно об утечке данных 40 млн платежных карт и 70 млн записей персональной идентификационной информации, которая стоила компании миллионов долларов, многие исследователи и СМИ публиковали различные подробности об атаке. Эксперты из Aorato проанализировали их и составили собственную картину инцидента, от взлома системы ОВК (отопления, вентиляции и кондиционирования) до похищения конфиденциальной информации.

Первым делом, с целью похищения учетных данных злоумышленники установили в системы ОВК одного из подрядчиков Target вредоносное ПО Citadel. Затем эти учетные данные использовались для входа в одно из web-приложений, которое Target сделала доступным для своих подрядчиков. Тем не менее, ни одна из этих программ не позволяла хакерам выполнять произвольные команды, необходимые для взлома сервера. Эксперты считают, что злоумышленники эксплуатировали уязвимость в приложении для внедрения бэкдора, который позволил им загрузить вредоносные файлы и выполнить команды.

Далее хакеры просканировали сеть Target в поисках содержащих конфиденциальную информацию устройств и PoS-терминалов. Вероятно, для этого они использовали сервис Active Directory. После обнаружения устройств хакеры похитили маркеры доступа (NT хэш) к пользовательским учетным записям с привилегиями администратора домена, используя метод атаки Pass-the-Hash. С помощью похищенных маркеров доступа они использовали команды Windows для создания новой учетной записи администратора домена.

Вновь созданные учетные данные администратора позволили злоумышленникам распространить свои полномочия на соответствующие компьютеры. Для обхода межсетевых экранов и других защитных решений они использовали несколько различных инструментов. По мнению экспертов, хакеры похитили записи персональной идентификационной информации с помощью инструментов, связанных с SQL.

Киберпреступникам пришлось возвратиться к PoS-терминалам, поскольку Target не хранит информацию платежных карт в базах данных. Эту информацию злоумышленники похитили, применив вредоносное ПО Kaptoxa, которое сканирует память PoS-терминалов в поисках данных, хранящихся в локальных файлах. С помощью удаленного доступа эти файлы периодически копировались на машины по FTP-протоколу, откуда пересылались в подконтрольные злоумышленникам учетные записи.

Подробнее ознакомиться с отчетом Aorato можно здесь .