كيف سرق الكبش البرمجيات الخبيثة البيانات من الهدف ، نيمان ماركوس

في حين أن Target لا يزال يحتفظ بصمته حول كيفية تمكن المهاجمين من اختراق شبكته والحصول على معلومات تخص أكثر من 70 مليون متسوق ، فإننا نعلم الآن أن برنامج مكافحة الفيروسات RAM scraping malware قد استخدم في الهجوم.

وقال جريج شتاينهافل ، الرئيس التنفيذي لشركة Target ، في مقابلة مع CNBC مناقشة الخرق الأخير. قالت الشركة في البداية إن معلومات بطاقة الدفع لـ 40 مليون شخص قاموا بالتسوق في أحد منافذ البيع بالتجزئة خلال موسم الأعياد قد تعرضوا للخطر. وقال الهدف الأسبوع الماضي أن المعلومات الشخصية ل 70 مليون شخص سرقت أيضا ، وأن أي متسوق جاء إلى المتاجر في عام 2013 كان في خطر.

أخبرت مصادر غير معروفة رويترز خلال عطلة نهاية الأسبوع أن البرامج الضارة المستخدمة في الهجوم كانت مكشطة من ذاكرة الوصول العشوائي. مكشطة RAM هي نوع محدد من البرامج الضارة التي تستهدف المعلومات المخزنة في الذاكرة ، على عكس المعلومات المحفوظة على القرص الصلب أو التي يتم نقلها عبر الشبكة. على الرغم من أن هذه الفئة من البرامج الضارة ليست جديدة ، إلا أن خبراء الأمن يقولون إنه كان هناك زيادة حديثة في عدد الهجمات ضد تجار التجزئة الذين يستخدمون هذه التقنية.

مهاجمة الذاكرة

تبحث كاشطات RAM داخل ذاكرة الكمبيوتر للحصول على البيانات الحساسة أثناء معالجتها. بموجب القواعد الحالية لمعايير أمان صناعة بطاقات الدفع (PCI-DSS) ، يجب تشفير جميع معلومات الدفع عند تخزينها على نظام PoS وكذلك عند نقلها إلى أنظمة خلفية. بينما لا يزال بإمكان المهاجمين سرقة البيانات من القرص الصلب ، فإنهم لا يستطيعون فعل أي شيء معها إذا كانت مشفرة ، وحقيقة أن البيانات مشفرة أثناء السفر عبر الشبكة يعني أن المهاجمين لا يمكنهم استنشاق حركة المرور لسرقة أي شيء.

هذا يعني أنه لا يوجد سوى نافذة صغيرة من الفرص - لحظة قيام برنامج PoS بمعالجة المعلومات - للمهاجمين للحصول على البيانات. يجب أن يقوم البرنامج بفك تشفير البيانات مؤقتًا من أجل الاطلاع على معلومات المعاملة ، وتستغل البرامج الضارة تلك اللحظة لنسخ المعلومات من الذاكرة.

يمكن ربط ارتفاع البرامج الضارة التي تتخلص من ذاكرة الوصول العشوائي بحقيقة أن تجار التجزئة يتحسنون في تشفير البيانات الحساسة. وقال مايكل ساتون ، نائب رئيس أبحاث الأمن في Zscaler: "إنه سباق تسلح. إننا نرمي حاجزًا على الطريق ويقوم المهاجمون بالتكيف والبحث عن طرق أخرى للحصول على البيانات".

مجرد برامج ضارة أخرى

من المهم أن تتذكر أن أجهزة نقاط البيع هي في الأساس أجهزة كمبيوتر ، وإن كان ذلك مع الأجهزة الطرفية مثل أجهزة قراءة البطاقات ولوحات المفاتيح. لديهم نظام تشغيل وتشغيل برنامج للتعامل مع معاملات البيع. إنهم متصلون بالشبكة لنقل بيانات المعاملات إلى الأنظمة الخلفية.

ومثل أي كمبيوتر آخر ، يمكن أن تصاب أنظمة PoS بالبرامج الضارة. وقال تشيستر ويسنيفسكي ، كبير مستشاري الأمن في سوفوس: "القواعد التقليدية لا تزال سارية". يمكن إصابة نظام PoS لأن الموظف استخدم هذا الكمبيوتر للانتقال إلى موقع ويب يستضيف البرامج الضارة ، أو قام عن طريق الخطأ بفتح مرفق ضار برسالة بريد إلكتروني. كان من الممكن أن تستغل البرامج الضارة برامج غير مسبوقة على الكمبيوتر ، أو أي من الطرق العديدة التي تؤدي إلى إصابة الكمبيوتر.

وقال ويزنيوسكي "كلما كان امتياز عمال المتاجر أقل امتيازًا في المحطات الطرفية للبيع ، قل احتمال إصابتهم بالعدوى". وقال إن الأجهزة التي تعالج المدفوعات حساسة للغاية ويجب ألا تسمح بتصفح الإنترنت أو تثبيت تطبيقات غير مصرح بها.

بمجرد إصابة جهاز الكمبيوتر ، يبحث البرنامج الضار عن أنواع محددة من البيانات في الذاكرة - في هذه الحالة ، أرقام بطاقات الائتمان والخصم. عندما يعثر على الرقم ، يحفظه في ملف نصي يحتوي على قائمة بجميع البيانات التي جمعها بالفعل. في مرحلة ما ، ترسل البرامج الضارة الملف - عادة عبر الشبكة - إلى كمبيوتر المهاجم.

أي شخص هو الهدف

في حين أن بائعي التجزئة يستهدفون حاليًا تحليل البرمجيات الضارة ، قال ويزنيفسكي إن أي مؤسسة تتعامل مع بطاقات الدفع ستكون عرضة للخطر. وقال إن هذا النوع من البرامج الضارة كان يستخدم في البداية في قطاعي الضيافة والتعليم. يشير Sophos إلى كاشطات ذاكرة الوصول العشوائي باسم Trackr Trojan ، ويسميها بائعون آخرون Alina و Dexter و Vskimmer.

في الواقع ، كاشطات RAM ليست مخصصة لأنظمة PoS فقط. وقال ساتون إن مجرمي الإنترنت يمكنهم تجميع البرامج الضارة لسرقة البيانات في أي موقف يتم عادةً تشفير المعلومات فيه.

أصدرت فيزا إنذارين أمنيين في أبريل وأغسطس من العام الماضي يحذران التجار من الهجمات باستخدام البرامج الضارة التي توزع الذاكرة. "منذ يناير 2013 ، شهدت فيزا زيادة في عمليات اقتحام الشبكة التي تنطوي على تجار التجزئة" ، قالت فيزا في أغسطس.

ليس من الواضح كيف دخلت البرامج الضارة في شبكة Target ، ولكن من الواضح أن هناك شيئًا ما فشل. لم يتم تثبيت البرامج الضارة على نظام PoS واحد فقط ، ولكن على العديد من أجهزة الكمبيوتر في جميع أنحاء البلاد ، و "لم يلاحظها أحد". وأضاف أنه حتى إذا كانت البرامج الضارة جديدة جدًا بحيث يتعذر على برنامج مكافحة الفيروسات اكتشافها ، فإن حقيقة أنه كان ينقل البيانات من الشبكة كان يجب أن يرفع الأعلام الحمراء.

بالنسبة للمتسوقين الفرديين ، فإن عدم استخدام بطاقات الائتمان ليس خيارًا حقًا. هذا هو السبب في أنه من المهم مراقبة البيانات بانتظام وتتبع جميع المعاملات على حساباتهم. وقال ساتون "عليك أن تثق في تجار التجزئة ببياناتك ، لكن يمكنك أيضًا أن تكون متيقظًا".