Geschätzte Verluste von 11 GB bei Target

Die Cyberkriminellen, die 40 Millionen Kreditkartennummern aus dem Netz des größten US-Einzelhändlers Target gestohlen haben, führten eine mehrstufige Attacke durch und brachten ihre Beute über externe FTP-Server und VPS russischer Herkunft in Sicherheit. Der Prozess dauerte zwei Wochen an, und nach Aussage der Experten konnten die Diebe auf diese Weise um die 11 GB Daten abgreifen.

Je weiter die Ermittlungen des Hacks von Target – der bereits zu einem der größten Datenlecks der Geschichte gezählt wird – im Dezember letzten Jahres fortschreiten, desto mehr Details treten zutage. Anfang Januar räumte Target ein, dass im Rahmen der komplexen Attacke außer den 40 Millionen Kredit- und Bankkartennummern auch die persönlichen Daten weiterer 70 Millionen Kunden gestohlen wurden. Später kam heraus, dass dieser dreiste Raub durch die Installation eines Schadprogramms auf den PoS-Terminals von hunderten Geschäften des Target-Netzes umgesetzt werden konnte. Es wurde festgestellt, dass es sich hierbei um eine maßgeschneiderte Variante eines Schädlings handelt, der als BlackPOS bekannt ist. Im vergangenen Jahr registrierte das FBI um die 20 Diebstahlsfälle unter Verwendung analoger Programme, und nach der skandalträchtigen Geschichte um Target wurde an amerikanische Händler nun eine Warnmitteilung verschickt, in der sie dazu aufgerufen werden, ihren Schutz vor Netzräubern zu verstärken.

Experten des israelischen Unternehmens Seculert analysierte ein Sample des Schadprogramms, das gegen Target eingesetzt wurde, und fand heraus, dass der Schädling sich fast eine Woche im System versteckt hatte, bevor er damit begann, gestohlene Daten an den FTP-Server einer kompromittierten Website zu senden. Laut Aussage der Experten wurden die Informationen von einem gehackten Computer aus dem internen Netz der Handelskette versendet.

„Eine weitere Analyse der Attacke brachte das Folgende zutage“, schreibt Aviv Raff, Technischer Direktor bei Seculert, in seinem Bericht. „Am zweiten Dezember begann der Schädling die gestohlenen Daten an einen FTP-Server einer anscheinend gekaperten Dritt-Website zu senden. Im Laufe von zwei Wochen wurden mehrmals täglich Daten übermittelt. Zum selben Zeitpunkt, am 2. Dezember, begannen die Initiatoren der Attacke die gestohlenen Informationen von dem FTP auf einen Virtuellen Private Server (VPS) in Russland zu laden. Sie transferierten zwei Wochen lang Daten und entwendeten so insgesamt 11 GB vertrauliche Kundeninformationen.“

Nach Angaben der Spezialisten ist der Schädling, der Target angegriffen hat, in der Lage, innerhalb des kurzen Zeitraums auf dem Rechner gespeicherte Daten zielgerichtet abzufangen, in dem sie noch nicht verschlüsselt sind. Diese Funktionalität befähigt ihn, die Ende-zu-Ende-Verschlüsselung zu umgehen, die manchmal vom Einzelhandel zum Schutz der Kundendaten verwendet wird, die in PoS-Systemen zur Weitergabe an einen internen Server und möglicherweise einen Bezahlprozessor gesammelt werden. „Die Angreifer setzten mehrere Komponenten ein“, erklärte Raff den Journalisten von Threatpost. „Eine dieser Komponenten legt ein ähnliches Verhalten wie BlackPOS an den Tag, ein PoS-Schädling, der mit Hilfe von Parsing Informationen aus dem Speicher des Computers abgreift.“

Raff erklärte zudem, dass er entgegen einiger Vermutungen keinen Grund sieht, den Target-Parasiten mit dem kürzlich bekannt gewordenen Hack des Netzes der Luxuswarenhauskette Neiman Marcus in Verbindung zu bringen. „Auch wenn sich zum gegenwärtigen Zeitpunkt keine gestohlenen Daten auf dem FTP-Server mehr befinden, zeigt eine Analyse der öffentlich zugänglichen Zugriffsprotokolle, dass Target das einzige Opfer ist. Bisher gibt es keinen Hinweis auf einen Zusammenhang mit der Attacke auf Neiman Marcus.“

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.