card-swipe-660x462

Как работают RAM-скрейперы: какими средствами в последнее время взламываются кредитные карты

Недавно появились сообщения об очередном похищении данных кредитных из крупных супермаркетов, на этот раз из Albertson’s и Supervalu, продуктовых сетей на западе Америки.

Это похищение – продолжение серии похищений данных из сетей гипермаркетов Target и Home Depot. Все они имеют одну общую черту – инструмент, которым хакеры воспользовались для кражи данных платёжных карт.

В хакерском мире каждый вредоносный инструмент проходит свой период расцвета – то время, когда он царит подпольных форумах и в заголовках СМИ и угрожает не оставить от компьютерной безопасности камня на камне.

Вирусы и черви уже миновали этот период, и трояны удалённого доступа, которые открывают хакеру тайный бэкдор в заражённую систему – тоже. Теперь первые позиции в новостях занимают RAM-скрейперы.

Взломщики тайно установили эти RAM-скрейперы в системы платёжных терминалов, используемых для сканирования и обработки кредитных и дебетовых карт в процессе оплаты товара в Albertson’s и Supervalu. Этот инструмент позволяет похищать номера карт миллионами, поскольку они проходят через систему.

RAM-скрейперы – программы, применённые в Target и Home Depot и принёсшие хакерам улов в более чем 100 миллионов банковских карт – появились не сегодня. VISA ещё в 2008 г. предупреждала о них розничные торговые сети. Но с тех пор они становятся всё более изощрёнными и эффективными в деле похищения данных платёжных карт. А ещё они получили более широкое распространение в качестве базовых наборов для сборки – начиная со стартовых модулей, легко настраиваемых из меню функций – что сделало скрейперы доступными широким массам хакеров. Нужно добыть что-нибудь из сети вашей жертвы на сервере в Минске? Запросто. Нужно готовое решение для управления командно-контрольным сервером в Мумбаи? И с этим программа тоже справляется.

RAM-скрейпер можно удалённо внедрить в сеть гипермаркета, после чего он расползётся по десяткам магазинов этой франшизы.

На чёрном рынке в настоящее время продаётся больше десятка видов RAM-скрейперов. Dexter, Soraya, ChewBacca, BlackPOS – вот лишь несколько из них. Последний получил известность из-за главной роли в похищении данных из Target в прошлом году. Хотя все RAM-скрейперы действуют примерно одинаково, у каждого есть специфические функции, позволяющие отличить их, как написано в недавнем докладе TrendMicro (.pdf) об этих инструментах.

supervalu-660x426

Supervalu и Albertson’s – крупнейшие сети гипермаркетов, в которых произошло хищение данных платёжных карт.

Например, скрейпер Dexter поставляется с клавиатурным шпионом в дополнение к коду кражи данных карт, так что злоумышленники могут заодно украсть ценные логи, учётные данные и приватную информацию. ChewBacca открывает из сети жертвы соединение Tor, чтобы тайком сливать украденные данные на командный сервер хакера, который базируется на скрытых сервисах Tor.

RAM-скрейперы – не единственный инструмент для кражи данных карт. По-прежнему широко популярны скиммеры, которые устанавливаются на карт-ридеры в банкоматах, автозаправочных станциях и других платёжных терминалах для перехвата данных карты и PIN-кода. Но для их применения взломщику требуется физический доступ к считывающему устройству для установки и снятия приспособления, что повышает риск поимки взломщика или его сообщников. В отличие от них, RAM-скрейпер может быть удалённо внедрён в сеть крупного гипермаркета, после чего он расползётся по десяткам магазинов этой франшизы – при этом хакеру даже не придётся вставать из-за своего компьютера. Так же удалённо его можно и стереть, чтобы убрать улики.

Эксперты по безопасности впервые обратили внимание на RAM-скрейперы в конце 2007 года после установления стандартов, известных как Стандарт безопасности данных платёжных приложений, предназначенных для считывания карт. Стандартом запрещалась распространённая в то время практика хранения данных кредитных карт на платёжных терминалах после завершения операции оплаты. Новый стандарт, в сочетании с другими изменениями в магазинах, которые ввели более защищённую передачу данных с карты, вынудил хакеров искать альтернативные способы, позволяющие перехватить данные до того как они будут стёрты. Таким способом оказалось оперативное запоминающее устройство в платёжном терминале.

Давайте рассмотрим, как работают системы считывания карт и скрейперы.

 

Как происходит транзакция по карте

Для обработки оплаты, производимой с помощью кредитных и дебетовых карт, небольшие рестораны и розничные торговцы пользуются услугами обработчика карт – сторонней компании, например, Heartland Payment Systems, которая получает данные карты от компаний розничной торговли и пересылает их в нужный банк для авторизации. Однако крупные торговые и продуктовые сети, которые проводят много операций по картам, могут сами для себя выступать в качестве обработчика карт. В этом случае данные оплаты по карте от каждого магазина сети пересылаются на центральный процессор в корпоративной сети, где накапливаются и направляются в соответствующую инстанцию для авторизации.

Любой бизнес, который позволяет клиентам оплачивать с помощью кредитной или дебетовой карты, также обязан соблюдать другой набор стандартов, известных как стандарты безопасности PCI. Разработанные крупнейшими участниками индустрии платёжных карт – VISA, Mastercard, Discover, American Express и JCB International, — эти стандарты требуют от компаний обязательного шифрования данных кредитных и дебетовых карт при их хранении в сети компании или пересылке по интернету. Стандарты не требуют от компаний шифрования данных карты для пересылки по собственной сети компании или отправки внешней компании-обработчику, пока данные передаются по частной сети. Но умные компании шифруют эти данные даже при пересылке по внутренним каналам, чтобы предотвратить доступ взломщиков к данным внутренней сети во время их пересылки.

Но даже тогда, когда компании шифрует данные в своей внутренней сети, существуют моменты, когда данные карточки подвергаются риску. Это краткий период, когда считанные с карты номер счёта и сопутствующие данные после считывания находятся в памяти платёжного терминала в незашифрованном виде, а система определяет, куда их переслать для авторизации. Вот тут в дело и вступают RAM-скрейперы.

 

Заражение системы платёжных терминалов

Проникновение RAM-скрейпера в систему платёжного терминала может оказаться непростым делом. В некоторых случаях киберпреступники заражают систему посредством фишинг-атаки, которая подсовывает сотруднику торговой сети заражённый файл или сайт, через который вредоносная программа скрытно устанавливается в систему. Оказавшись внутри компьютера сотрудника, а затем и внутри корпоративной сети, взломщики могут получить доступ к платёжной сети, слить учётные данные администратора, которые дадут им доступ к намеченной сети.

В некоторых случаях вредоносная программа устанавливается с помощью инсайдера или через незащищённый бэкдор, как в случае взлома ресторанов Jimmy John’s. Нечто подобное произошло и в случае Target, когда взломщики проникли в корпоративную сеть посредством учётных данных, используемых службами отопления и кондиционирования воздуха, которые имели доступ к части сети Target для выставления счетов. Оттуда взломщики нашли лазейку в платёжную сеть и установили скрейпер.

RAM-скрейперы применяют разные приёмы, чтобы скрыть своё присутствие в системе и предотвратить своё обнаружение. Некоторые для уменьшения оставляемых ими следов и затруднения обнаружения их кода с помощью антивирусов используют архиваторы. Некоторые встраиваются в уже существующие процессы, работающие в сети, так что их вредоносная активность маскируется легальной активностью другого процесса.

За шесть месяцев до взлома компания установила систему обнаружения вредоносных программ стоимостью $ 1,6 млн, которая работала, как и предполагалось, и адресовала несколько предупреждений сотрудникам службы безопасности Target, которые их благополучно проигнорировали.

 

Как работают RAM-скрейперы

Попав в намеченную систему, RAM-скрейперы начинают работу с изучения списка процессов, запущенных в системе, и проверки памяти на предмет наличия данных, которые соответствуют структуре данных кредитных карт: номеру счёта, дате истечения срока и другой информации, хранящейся на магнитной полосе карты. Некоторые скрейперы работают эффективнее других и вылавливают только искомые номера; другие действуют более небрежно и вместе с добычей вылавливают кучу грязи.

Скрейперы обычно шифруют украденные данные и хранят их где-нибудь в сети жертвы, пока взломщики не смогут скачать их удалённо. Или же взломщики могут запрограммировать скрейпер автоматически отправлять зашифрованные данные через Интернет с некоторой периодичностью, пересылая их через несколько прокси-серверов до конечного пункта назначения.

Вот как получили свою добычу взломщики Target. Они проникли в сеть Target 27 ноября прошлого года, накануне Дня благодарения, и за следующие две недели успели скачать уйму незашифрованных данных кредитных и дебетовых карт, прежде чем компания обнаружила их присутствие.

Инструмент BlackPOS, использованный для взлома, может пересылать украденные данные на FTP-сервер, однако встроенный в него почтовый клиент может отправлять информацию по электронной почте. При взломе Target украденные данные хранились в захваченной системе в текстовом файле, каждые семь часов копировались на заражённый сервер той же сети и пересылались на удаленный FTP-сервер за её пределами. Сливаемые партии данных в этом случае можно было обнаружить применением нужных средств в нужном месте – именно так их и обнаружили. За полгода до взлома компания установила систему обнаружения вредоносных программ стоимостью $ 1,6 млн, которая работала, как и предполагалось, когда взломщикам всё же удалось проникнуть в сеть. Компания также адресовала несколько предупреждений сотрудникам службы безопасности – но служба безопасности не приняла их к сведению.

Учитывая впечатляющий успех RAM-скрейперов в краже данных даже из крупнейших розничных сетей, может создаться впечатление, что противопоставить им нечего. Однако это не так.

RAM-скрейперы окажутся не у дел, если стандарты PCI изменятся таким образом, что станут предписывать компаниям шифровать данные карт прямо на клавиатуре, то есть на этапе ввода PIN-кода – с момента его набора на клавиатуре и до момента прибытия данных к банковскому эмитенту для авторизации. Данные, идентифицирующие эмитента карты, могут быть расшифрованы после прихода информации на процессор для определения, куда направлять данные для авторизации, но номер карточного счёта и срок действия карты остаются зашифрованными до момента получения информации эмитентом. Однако это потребует разработки новых протоколов передачи данных, так как большинство обработчиков карт в настоящее время не оборудованы приспособлениями для расшифровки данных.

Другим решением может оказаться введение EMV-карт. Также известные как «карты с чипом и PIN-кодом», EMV-карты имеют встроенный микрочип, который удостоверяет её карты в качестве легальной банковской карты, тем самым перекрывая путь распространённому приёму взломщиков: записать украденные данные на пустую карту и использовать её для мошеннических операций. Чип содержит те же данные, которые традиционно хранятся на магнитной полосе карты, а также сертификат, используемый для цифровой подписи каждой транзакции. Даже если взломщику удастся похитить данные карты, он не сможет сгенерировать код, необходимый для транзакции без сертификата. EMV-карты уже широко распространены в Европе и Канаде, но в США пока распространяются медленно. Чтобы вынудить американские компании поторопиться с установкой считывателей карт, необходимых для надёжной обработки EMV-карт, VISA объявила крайний срок 1 октября 2015 года. После этого срока любая компания, у которой нет считывателей EMV-карт, может понести ответственность за мошеннические операции, проделанные с похищенными у неё данными карт.

Третий способ решения проблемы RAM-скрейперов – Apple Pay. Если новая система мобильных платежей Apple получит широкое распространение, это может резко сократить количество карт, отсканированных и обработанных традиционным способом, тем самым ограничив количество данных карт, уязвимых для скрейперов. Apple Pay хранит данные карты в расчётной книжке в iPhone и представляет продавцу только идентификатор устройства и одноразовый код транзакции для авторизации платежа, тем самым не пересылая продавцу номер карты. Да, взломщики всё ещё могут перехватить номер карты – но для этого им понадобится получить доступ к самому мобильному устройству. Но с каждого iPhone им удастся добыть один, максимум два номера карт – тогда как скрейперы ставят под угрозу миллионы номеров.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *