Читаем Цифровой журнал «Компьютерра» № 205 полностью

Цифровой журнал «Компьютерра» № 205

И тем сильней шок от вскрывшегося на прошлой неделе. 18 декабря мелькнуло первое, ещё неофициальное известие о том, что Target стала жертвой электронного ограбления и расследует масштабную утечку номеров пластиковых карт и сопутствующей информации. Сутки спустя компания подтвердила это сообщение, уточнив, что злоумышленники вломились в её компьютерные системы 27 ноября и орудовали до 15 декабря. В результате было унесено до 40 млн номеров, имён покупателей, дат экспирации карт и CVV-кодов (к счастью, только тех, что записаны на магнитном стрипе; коды CVV2, печатаемые на обороте карты, скомпрометированы не были), а также почтовых индексов магазинов, в которых конкретной картой производилась оплата (знание этого помогает красть с неё деньги). Украденных сведений достаточно, чтобы изготовить дубликаты карт, но недостаточно, чтобы получить по этим дубликатам деньги в банкомате или совершить интернет-покупку; такими дубликатами злоумышленники смогут расплачиваться только офлайн.

_{«Target» в переводе с английского означает «цель». Не лучшее имя для компании, ставшей жертвой кибератаки...}

Разразившийся скандал получился беспрецедентным. Мало того что жертвами ограбления оказались столь многие, так ещё и случилось это в самый разгар предпраздничного шопинг-сезона, включающий «чёрную пятницу». Сделанное компанией уточнение, что проблема затронула лишь офлайновые магазины в США (интернет-покупатели могут не беспокоиться), не только не остудило страстей, но даже вызвало новый всплеск: быстро стало понятно, что Target не знает, как именно злоумышленники собрали и вынесли свой опасный груз. Судя по всему, ритейлер вообще пребывал в счастливом неведении, пока его не известили сторонние спецы по безопасности. В середине декабря сотрудники одного или нескольких американских банков, занимающиеся мониторингом кардерской активности, приобрели на чёрном рынке сотню–другую номеров карт, выпущенных их банками, — и установили, что все карты «засветились» в магазинах Target. Это и положило начало расследованию. Но вот как именно ворам удалось собрать сорок миллионов карт по всей стране, точно не известно и сейчас.

Что мы знаем? Во-первых, даже если у Target есть единая база данных, в которой хранятся номера карт и сопутствующие сведения, выкрали не её. Во-вторых, подобные кражи обычно совершаются путём «доработки» конкретного кардридера, через который покупатель проводит свою карту при оплате на кассе — но в данном случае речь идёт минимум о сорока тысячах кардридеров, что, конечно, делает физические манипуляции с ними невероятными. Вот так и сформировалась доминирующая на данный момент теория: атака была технически нетривиальной и подразумевала участие осведомлённого человека внутри компании.

Сначала злоумышленники заручились поддержкой сотрудника Target, имеющего доступ к серверу (или системе серверов), с которого распространяются прошивки для кассовых аппаратов или кардридеров компании. На втором этапе эту прошивку дизассемблировали и внесли в неё некоторые изменения. На третьем — модифицированная прошивка вернулась на сервер и была (под видом апдейта) разослана по магазинам, после чего начался собственно сбор номеров. Предполагается, что вынести накопленные сведения из корпоративного интранета помог тот же завербованный сотрудник. Возможно даже, что его личность уже установлена, но компания молчит, не желая потерять лицо: имя всплывёт лишь много месяцев спустя, когда массовая истерия уляжется.

_{Пока нанятая Target «лидирующая» фирма по расследованию компьютерных преступлений пытается совместно с Секретной службой США выйти на грабителей, на кардерских сайтах уже торгуют унесённым добром. Это скриншот с одной из таких торговых площадок: видно, например, что кредитные карты идут дороже дебетовых — поскольку и «выкачать» из них можно больше (фото: Krebs on Security).}

Перейти на страницу: