Einbruch auf Target-Server über offenen Fernwartungszugang
Immer mehr Einzelheiten, wie die Angreifer in die Systeme des Handelshauses Target eindringen konnten, um Zahlkartendaten zu stehlen, werden bekannt. Es scheint nun wohl so zu sein, dass die Diebe Zugangskarten von einem Kühlschrank-, Heizungs- und Klimaanlagen-Dienstleister, der in einigen Target-Läden gearbeitet hatte, stahlen und diese benutzten, um Zugang zu Target zu bekommen. Der Dienstleister Fazio Mechanical Services gab zu, im Ziel der Ermittlungen zu stehen. Die Verbindung mit Target wäre aber rein geschäftlich und hätte ausschließlich mit elektronischer Rechnungsschreibung, Projektmanagement usw. zu tun.
Es ist den Ermittlern auch nicht klar, weshalb Target Dienstleistern Zugang zum externen Netzwerk geben würde und wenn, warum dann nicht der Zugang zum Zahlungssystem gesperrt wurde. Allgemein ist es aber in der Branche bekannt, dass Dienstleister mit ihren Teams routinemäßig Energieverbrauch und Temperaturen in den Läden überprüfen (meistens nachts), um Energiesparmaßnahmen durchzuführen. Um effizient arbeiten zu können, haben diese Dienstleister daher einen Remote-Zugang zum System, um evtl. Patches, Updates usw. durchzuführen.
Die Ermittler veröffentlichten auch zusätzliche Infos über den zeitlichen Ablauf des Vorfalls, auch darüber, wie die Angreifer die gestohlenen Daten vom Target-Netzwerk entfernten. Demnach gelang es ihnen zunächst, die bösartige Software auf ein paar Kassenautomaten in den Läden zwischen dem 15. und 28. November letzten Jahres aufzuspielen. Danach folgte die Testphase für die Malware.
Anschließend wurde sie von dort aus auf weitere Kassensysteme verbreitet und begann mit dem Einsammeln von Zahlkarteninformationen der Ladenkundschaft. Die gesammelten Daten wurden auf vielen verschiedenen Computern in den USA und anderswo zwischengespeichert. Von dort aus konnten die mutmaßlichen Täter in Russland und Osteuropa sie problemlos abrufen. Einige der gestohlenen Daten wurden auf gehackten Computerservern einer Firma in Miami gefunden, andere auf einem Drop-Server in Brasilien.
Wenn die Untersuchungen zum Abschluss kommen, könnten eine sehr hohe Schadensersatzklage und auch Strafzahlungen auf Target zukommen.
Artikel von krebsonsecurity.com, 05.03.2014: Target Hackers Broke in Via HVAC Company
Artikel von cnet.com, 05.02.2014: Heating vents may have given Target hackers their opening