Pertes de Target estimées à 11 Go

Les individus malintentionnés qui ont volé 40 millions de numéros de carte de crédit dans les bases de données de Target, une des plus grandes enseignes de la distribution aux Etats-Unis, ont adopté une stratégie d'attaque en plusieurs étapes et ont évacué leur butin via un serveur FTP externe et un serveur VPS en Russie. Le processus s'est déroulé sur plus de deux semaines, mais au final, d'après les experts, les voleurs ont réussi à obtenir près de 11 Go de données.

Au fil de la progression de l'enquête sur l'attaque menée en décembre contre Target et qui a causé une des plus grandes fuites de données jamais enregistrées, des détails intéressants font leur apparition. Au début du mois de janvier, Target a reconnu que les auteurs de l'attaque complexe avaient volé non seulement 40 millions de numéros de cartes de crédit et de débit, mais également les données personnelles de 70 millions de clients. On découvrit ensuite que le vol avait été réalisé via l'installation d'un programme malveillant sur les terminaux de point de vente de centaines de magasins de la chaîne Target. Ce programme malveillant personnalisé est connu sous le nom de BlackPOS. L'année dernière, le FBI avait recensé près de 20 cas de vols de données à l'aide de programmes similaires et après le scandale de Target, il avait envoyé un avertissement aux commerçants américains pour les inciter à renforcer leurs protections contre les voleurs via réseau. 

Des chercheurs de la société israélienne Seculert ont analysé un exemplaire du programme malveillant utilisé contre Target et ils ont découvert que ce dernier s'était dissimulé dans le réseau pendant près d'une semaine avant de commencer à envoyer les données volées via un serveur FTP d'un site compromis. D'après les experts, ces informations étaient transportées depuis l'ordinateur compromis dans le réseau interne de la victime. 

Aviv Raff, directeur technique de Seculert, écrit dans le rapport : "L'analyse de l'attaque a mis en évidence les éléments suivants : le deux décembre, le programme malveillant a commencé à envoyer les données volées à un serveur FTP d'un site tiers, très probablement compromis. Le transfert avait lieu plusieurs fois par jour et cela a duré deux semaines. C'est le 2 décembre également que les auteurs de l'attaque ont commencé à décharger les données volées depuis le FTP vers un serveur VPS en Russie. Ils ont mené cette opération pendant deux semaines et ont obtenu 11 Go de données de client." 

Selon les experts, le programme malveillant qui a attaqué Target peut intercepter les données cibles enregistrées sur la machine de la victime au cours du bref intervalle avant qu'elles ne soient chiffrées. Cette fonction lui permet de déjouer le système de chiffrement bout en bout parfois utilisé dans le commerce de détail pour protéger les données des clients stockées sur les terminaux de point de vente avant leur envoi vers le serveur interne et, peut-être, le partenaire qui traite les paiements. Comme l'a expliqué Aviv Raff aux journalistes de Threatpost : "Les auteurs de l'attaque ont utilisé plusieurs composants. Un de ceux-ci possède un comportement semblable à celui de BlackPOS, le programme malveillant qui utilise le parsing pour sélectionner les informations dans le mémoire de l'ordinateur."

Aviv Raff a également indique que, au contraire de certaines hypothèses, il ne voyait aucun lien entre le programme malveillant qui avait touché Target et l'attaque récente contre le magasin de luxe Neinman Marcus. "Bien que les données volées ne figurent déjà plus sur le serveur FTP, l'analyse des journaux ouverts d'enregistrement des accès montre que Target est la seule victime. Aucun élément ne permet à parler de similitudes avec l'attaque contre Neiman Marcus."

http://threatpost.com/target-attackers-took-11-gb-of-data-researchers-say/103691

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *