taegetAutor: John E Dunn

O ataque que plantou um malware nos terminais de ponto de venda da Target, na violação ocorrida em novembro, se aproveitou de conhecimentos internos da rede da empresa em vez de uma vulnerabilidade em algum software. As afirmação vem de uma pesquisa realizada pela empresa de antivírus McAfee.

Trechos de informações sobre a engenharia do ataque vazaram desde que a Target tornou o incidente público em janeiro – mas esse sugere, se não complexidade, pelo menos um grau de planejamento.

Como já foi amplamente discutido, o ataque à Target implantou o BlackPOS, um kit de exploração genérico e muito popular entre cibercriminosos, usado para coletar dados de computadores de varejo conectados a leitores de cartão de crédito usados por consumidores.

O comportamento do malware dentro da rede da Target foi controlado por scripts que referenciavam a estrutura interna da rede com um certo detalhe. “Os detalhes sobre os nomes de domínio Active Directory, contas de usuários e endereços IP de compartilhamentos SMB foram codificados em scripts que foram entregues por alguns dos componentes de malware”, disse a McAfee.

Apesar de não ser um achado extremamente surpreendente, o caso sugere que os crackers são capazes de vencer a segurança, mesmo quando eles não estão familiarizados com o software POS em uso pela empresa-alvo.

Este não foi o caso de escolher aleatoriamente uma empresa que não tinha assegurado seu patrimônio, os criminosos sabiam o que estavam fazendo e reuniram dados suficientes para lançar o ataque com precisão.

O fato de que eles foram capazes de fazer isso ressalta a importância da deficiência na segurança que ocorreu para permitir que crackers roubassem dados pessoais de um número entre 70 e 110 milhões de clientes da loja.

Os dados roubados tinham sido removidos às claras, sem criptografia, utilizando FTP, disse a McAfee. Os ladrões estavam vendendo os detalhes da conta roubadas em lotes de alguns milhões em fóruns arbitrários.

Acreditam-se que os cracker penetraram na rede da varejista por meio da exploração das credenciais de acesso remoto conseguidas a partir de uma empresa de ar condicionado.

De acordo com o FBI, o kit de ferramentas BlackPOS é a obra de um adolescente programador russo de São Petersburgo – embora seja provável que uma gangue tenha realizado o ataque.

Outros varejistas americanos afetados por ataques a POS em 2013 incluem Neiman Marcus, White Lodging, Harbor Freight Tools, Easton-Bell Sports, e Michaels Stores. Apenas alguns dias atrás, o CIO da Target renunciou na sequência da violação.

“Esses roubos online ocorreram em uma época onde a maioria das pessoas estavam concentradas em suas compras de final de ano e quando a indústria queria que as pessoas se sentissem seguras e confiantes com suas compras. O impacto desses incidentes será sentido tanto na mesa da cozinha, quanto nas salas de reuniões”, disse o vice-presidente sênior da McAfee Labs, Vincent Weafer.

“Para os profissionais de segurança, a gênese ‘off the shelf’ de algumas dessas cibercampanhas, a escala de operações, e também a facilidade de monetizar digitalmente os dados dos clientes roubados, tudo isso representa a chegada da era, tanto do Cibercrime-as-a-Service quanto para a ‘dark web’ em geral.”

Fonte:  IDG Now!