Последние 12 месяцев нескончаемым потоком идут сообщения об утечках данных в розничной торговле в результате применения, как правило, той или иной формы вредоносного кода для торговых автоматов. В новом докладе производителя средств безопасности Cyphort анализируются некоторые основные инструменты преступников.
Одна из крупнейших утечек в прошлом году имела место в компании Home Depot. Она затронула 56 млн. кредитных карт и 53 млн. адресов электронной почты. В сентябре Home Depot впервые подтвердила факт утечки данных. При этом отметила, что использовавшийся злоумышленниками вредоносный код прежде не был известен.
Соучредитель и главный архитектор Cyphort д-р Фэнгминь Гонг подозревает, что примененный для хищения данных Home Depot вредоносный код известен как FrameworkPOS, хотя есть причина сомневаться в этом.
«У Cyphort нет в наличии соответствующего образца, который можно было бы связать с Home Depot, — сказал Гонг корреспонденту eWeek. — Мы считаем, что это FrameworkPOS, основываясь на нашем анализе всех образцов POS, которыми мы располагаем, и проведенных сообществом исследований».
Возможно также, добавил Гонг, что поразивший Home Depot вредоносный код представляет собой вариант кода Backoff, учитывая, что Home Depot он неизвестен. Cyphort больше интересует поведение различных семейств вредоносного кода POS, чем то, какое именно из них использовалось в том или ином конкретном случае, сказал он.
О семействах вредоносного кода POS впервые публично сообщила в июле Секретная служба США. Backoff поразил не менее 1 тыс. магазинов розничной торговли.
Cyphort проанализировала помимо Backoff и FrameworkPOS семейство вредоносного кода, известное как BlackPOS, которое, как подозревает Cyphort, использовалось для атаки на компанию Target в ноябре 2013 г. Эта атака затронула 70 млн. клиентов. В августе этого года Target публично объявила, что для покрытия связанных с проникновением расходов потребуется 148 млн. долл.
Backoff, FrameworkPOS и BlackPOS имеют ряд общих черт. Главная из них, по словам Гонга, это то, что все они могут собирать данные о кредитных картах, просматривая оперативную память торговых автоматов. В остальном, добавил Гонг, Backoff отличается от FrameworkPOS и BlackPOS своей изощренностью и возможностями.
Секретная служба США выразила благодарность производителю средств безопасности Trustwave за помощь в первоначальном обнаружении Backoff. Ведущий специалист Trustwave по безопасности Райан Мерритт пояснил корреспонденту eWeek, что все семейства вредоносного кода для торговых автоматов просматривают оперативную память с целью извлечения номеров кредитных карт в процессе их обработки. Некоторые семейства действуют более целенаправленно, но все они просматривают оперативную память, сказал он.
«Основные функции весьма схожи. Некоторые даже считают, что BlackPOS и FrameworkPOS относятся к одному семейству, — сказал Мерритт. — Но главное различие обычно заключается в том, как вредоносный код обеспечивает свою живучесть в ставшей его жертвой системе, и использует ли он фильтрование полученных данных о картах».
Внутри семейств вредоносного кода для торговых автоматов теперь тоже есть многочисленные варианты. В семействе Backoff, по словам Мерритта, к настоящему времени их обнаружено свыше десяти.