Ein Sprecher von Target teilte mit, dass ein kürzlich berichtetes Datenleck dadurch ermöglicht wurde, dass die Hacker Zugriffsberechtigungen eines Verkäufers stahlen. Es betraf die Details über Kartenzahlungen von rund 40 und persönliche Informationen von rund 70 Millionen Kunden des Händlers.

Ein erster Blick auf die Malware legt nahe, dass die Angreifer eine Schwachstelle in der IT-Management-Software des internen Netzwerks von Target ausnutzten. Der Virus hatte die Funktion, Kredit- und EC-Kartendaten auszuspähen. Außerdem installierten die Angreifer einen Control-Server im internen Netzwerk von Target, welcher als zentraler Aufbewahrungsort für die aus den infizierten Registern gewonnenen Daten diente. Dieser Control-Server hatte laut einer Analyse durch Symantecs ThreatExpert Service die interne Adresse 10.116.240.31. Der Name „ttcopscli3acs“ ist der von Target im internen Netzwerk genutzte Domainname.

Um Zugang zu erhalten, nutzten die Hacker den Benutzeraccount „Best1_user“ mit dem Passwort „BackupU$r“. Auf den ersten Blick mag die Auswahl des Benutzernamens merkwürdig unzufällig erscheinen, doch es gibt auch hierfür eine Erklärung: Es ist derselbe Nutzername, der mit einer IT-Management-Software namens Performance Assurance für Microsoft Server von BMC Software installiert wird.

Dieser Nutzeraccount existiert ursprünglich, um Routineaufgaben durchzuführen, stellt also faktisch einen Nutzer auf „System-“ oder „Administratorebene“ dar. In einem von BMC veröffentlichten Artikel heißt es sogar, dass sich die Nutzer nicht um diesen Account zu kümmern brauchten. Er sei nicht Bestandteil irgendeiner Gruppe und somit nicht zum Zugriff auf das System nutzbar. Allerdings kann er dazu genutzt werden, Programme laufen zu lassen, wenn er einen Befehl dazu erhält.

Auf eine Anfrage an BMC Software, ob das Passwort für diesen Account eventuell das von den Hackern genutzte „BackupU$r“ ist, kam bisher keine Antwort. Das Passwort ist normalerweise selbst dem technischen Support-Team unbekannt.

Eine Meldung des FBIs vom 17. Januar warnt: Den grundlegenden Code, der für die POS-Malware im vorliegenden Falle genutzt wurde, sah man bereits in anderen Fällen. Diese reichen teilweise bis zum Jahr 2011 zurück.

Artikel von govinfosecurity.com, 30.01.2014: Target Breach: Credentials Stolen
Artikel von krebsonsecurity.com, 29.01.2014: New Clues in the Target Breach