Malware in Target-Kartenterminals
Immer mehr Details über die bösartige Software, die im Target-Vorfall im Dezember2013 verwendet wurde, kommen ans Tageslicht. Laut Informanten, die in den laufenden Untersuchungen involviert sind, wurde eine Memory-Scraping-Malware verwendet, um an die Kartendaten der Kunden zu kommen.
Solche Programme analysieren kurzzeitig gespeicherte Daten in den Speicherbanken der einzelnen Kartenterminals und können Daten des Karten-Magnetstreifens in dem Moment erfassen, in dem die Karte durchgezogen wird. Die Angreifer haben anscheinend auch einen zentralen Server bei Target selbst verwendet, um die so gestohlenen Daten zwischenzuspeichern. Von dort gingen sie dann zu einem externen FTP-Server.
Das Unternehmen hat offiziell weder Einzelheiten über die Malware veröffentlicht, noch weiß es, wer die eigentlichen Angreifer waren. Unbekannte hatten jedoch kurz nach dem Angriff eine Kopie der verwendeten Malware auf einen Blog von ThreatExpert.com hochgeladen. Gesprochen wurde von einem Malware-Scanning-Service der Firma Symantec. Keines der über 40 verschiedenen gewerblichen Anti-Virus-Programme bei Target, konnte diese Malware erkennen.
Tests haben auch ergeben, dass kein einziges der marktüblichen Antiviren-Programme erfolgreich war. Die Malware wurde offenbar speziell programmiert, um der Entdeckung zu entgehen. Ein Gerücht geht um, dass die Malware Ähnlichkeit mit einem Code hat, der in Cybercrime-Foren unter dem Namen BlackPOS verkauft wird und Firewalls umgehen kann. Die Billigversion kostet 1.800 US-Dollar und die Vollversion 2.300 US-Dollar.
Zum Angriff selbst hat Target bis jetzt keinen Kommentar abgegeben. Laut den inoffiziellen Quellen seien die Täter über einen Web-Server des Unternehmens eingedrungen und schafften es irgendwie, die bösartige Software aufzuspielen. Danach wurde ein permanenter Control-Server innerhalb des Target-Intranets aufgebaut, der als zentrale Ablage für die gestohlenen Daten diente.
Inzwischen hat die Firma Seculert dies durch eine Analyse bestätigt, ebenso dass der Angriff in zwei Phasen ablief. Zuerst wurden die Kartendaten gesammelt, dann blieben sie über einen Zeitraum von sechs Tagen unentdeckt und wurden anschließend über ein weiteres infiziertes Gerät innerhalb des Unternehmens zu einem externen FTP-Server geschaufelt. So gelangten 11 GB Kartendaten auf einen privaten russischen Server.
Artikel von krebsonsecurity.com, 15.01.2014: A First Look at the Target Intrusion, Malware
Artikel von krebsonsecurity.com, 16.01.2014: A Closer Look at the Target Malware, Part II