Кредитка под угрозой: охотники за POS-терминалами

Новости Угрозы

Несмотря на то что случившаяся в конце прошлого года хакерская атака на торговую сеть Target затронула только жителей США, история эта прогремела на весь земной шар. Что, впрочем, неудивительно: в результате инцидента были скомпрометированы более 40 млн банковских карт и данные более 70 млн клиентов компании — всего за месяц злоумышленниками было добыто более 11 Гб ценной информации!

PoS-терминал

Как же такое могло произойти? В первую очередь на ум приходит логичный и вполне разумный вариант: чтобы выкрасть данные десятков миллионов покупателей, преступники каким-то образом проникли на серверы торгового гиганта или взломали систему процессинга платежей, в результате чего и слили всю необходимую информацию. В принципе такой подход определенно мог бы увенчаться успехом. Однако в случае с атакой на Target злоумышленники, ко всеобщему удивлению, действовали совершенно иначе.

На самом деле платежный процессинг компании, равно как и ее серверы, никакой атаке напрямую не подвергались. Вместо них преступники (а их личности, к слову, до сих пор неизвестны) сконцентрировали свое внимание на кассовых аппаратах и так называемых PoS-терминалах — устройствах, при помощи которых магазин может принимать к оплате пластиковые карты. Данные девайсы, как выяснилось, были заражены вредоносным программным обеспечением, которое и перехватывало нужную информацию. Как именно это происходило — и есть самое интересное во всей истории.

Дело в том, что еще до попадания на серверы платежной системы данные кредитки шифруются, что делает их перехват практически бессмысленным. Однако на пути к ним информация в определенный момент дешифруется и в виде простого текста в течение очень короткого промежутка времени оседает в оперативной памяти кассового аппарата или привязанного к нему компьютера. В это самое мгновение в работу вступает специально созданный зловред. Его задача — выцепить из ОЗУ все находящиеся там расшифрованные данные и выкристаллизовать из них требуемую информацию: номера карточек, имена, адреса, секретные коды и так далее. Подобные программы, так называемые RAM-scrapers (англ. to scrape — «соскребать»), составляют целый класс и известны уже около шести лет.

Задача зловреда типа RAM-scraper — проникнуть в оперативную память кассового аппарата или терминала по приему банковских карт и выкрасть из нее ценные данные.

Собственно, в случае с Target хакеры использовали именно такой вирус и заразили им сразу все PoS-терминалы. Причем сделали они это, судя по всему, централизованно, потому что в противном случае им пришлось бы устанавливать зловред на каждый терминал вручную, а это уже что-то из разряда фантастики. Исследователи из компании Seculert, кстати, подтвердили данную теорию, найдя следы заражения одного из компьютеров во внутренней сети зловредом BlackPOS — широко известной в узких кругах программкой, которую при достаточном уровне осведомленности можно приобрести на черном рынке без особых сложностей. Именно с ее помощью предположительно и произошло заражение всех платежных терминалов.

Кстати, BlackPOS — далеко не единственный PoS-зловред, да и случай с Target едва ли можно назвать уникальным: не так давно схожие атаки ощутили на себе еще как минимум два крупных ритейлера — магазины Nieman Marcus и Michael’s. Есть мнение, что все три инцидента могут быть неким образом связаны между собой, но, вероятнее всего, это не так. Зато в том, что в ближайшем будущем нас ждет взрывная активность PoS-вирусов, многие уже не сомневаются. Да, добрая часть подобных зловредов, скорее всего, будет представлять собой лишь несложные модификации существующих банкеров типа ZeuS, но прогресс не стоит на месте, и появление новых, трудноуловимых троянцев — это лишь вопрос времени.

Об этом говорит хотя бы тот факт, что уже сейчас на некоторых тематических форумах все чаще встречаются объявления, в которых разработчикам предлагаются хорошие деньги за создание PoS-зловредов. То же самое, кстати, можно было наблюдать в 2010 году, когда стоимость подобных проектов сперва оценивалась в суммы от нескольких сотен до пары тысяч долларов, а позже доходила до 6–7 тысяч.

Более того, эксперты полагают, что распространение PoS-вирусов будет подстегнуто уже существующими троянами, чей исходный код относительно легко доступен и может быть модифицирован для кражи данных из PoS-терминалов даже не очень опытными людьми. Иными словами, снижение входного порога означает прилив большого количества потенциальных преступников, а значит, вероятное увеличение количества атак.

В ближайшем будущем нас ждет взрывная активность PoS-зловредов.

Собственно, схожая ситуация характерна для всего вирусного рынка. Сперва любая вирусная атака дается с трудом, а повторить чьи-то успехи — удел единиц, однако со временем все становится проще, и совершить киберпреступление могут куда менее опытные энтузиасты. В конечном итоге матерые специалисты, дойдя до определенного уровня, создают и распространяют простые хакерские инструменты, доступные практически всем, у кого есть клавиатура, голова на плечах и недобрые намерения. Рынок развивается, растет и каждый день вбирает в себя все больше и больше участников.

Ситуация, прямо скажем, удручающая. Особенно если учесть, что существует энное количество утечек, о которых мы ничего не знаем: то ли ввиду желания атакованных компаний скрыть от клиентов правду, то ли потому, что они о наличии этих утечек просто не догадываются. В этом смысле компания Target и банки, чьи карты оказались скомпрометированы, поступили честно и адекватно, оперативно признав факт утечки и сделав все возможное для того, чтобы их клиенты не пострадали.

Ну а нам, потребителям, остается только читать новости и тщательно следить за своим банковским счетом.