Gemiste alarms en 40 miljoen van gestolen creditcardnummers Hoe Target verknald

Gemiste alarms en 40 miljoen van gestolen creditcardnummers Hoe Target verknaldGemiste alarms en 40 miljoen van gestolen creditcardnummers: Hoe Target blies het

Achter deze week. s covers

Op zaterdag 30 november, had de hackers hun valstrikken en had slechts één ding te doen voordat de aanval: het plan van de data’s ontsnappingsroute. als ze geüpload exfiltratie malware te bewegen gestolen creditcardnummers-eerste halteplaatsen verspreid over de Verenigde Staten om hun sporen uit te wissen, dan in hun computers in Rusland-FireEye gespot hen. Bangalore kreeg een waarschuwing en markeerde het security team in Minneapolis. En dan …

Om een ​​of andere reden, heeft Minneapolis niet reageren op de sirenes. Bloomberg Businessweek sprak met meer dan 10 voormalige werknemers Target vertrouwd met het bedrijf beveiliging van gegevens operatie, evenals acht mensen met specifieke kennis van de hack en de nasleep ervan, waaronder de voormalige werknemers, security onderzoekers en wetshandhavers. Het verhaal dat ze vertellen is van een waarschuwingssysteem, geïnstalleerd om de band tussen winkelier en de klant te beschermen, die prachtig werkte. Maar dan, Target stond met maar 40 miljoen creditcardnummers-en 70 miljoen adressen, telefoonnummers en andere stukken van persoonlijke informatie-gutste uit zijn mainframes.

13 maart (Bloomberg) – Het was pas na de federale ambtenaren gemeld Doel van ongebruikelijke cyber activiteit die credit card betalingen bij Target winkels die een team van de onderneming onderzoekers ging terug om uit te vinden wat er is gebeurd. Als ze via de computer logs poriën, teamleden gevonden waarschuwingen van de weken voorafgaand aan de waarschuwing dat hackers malware had geïnstalleerd. De hackers zou gaan om te stelen credit card info en uiteindelijk de persoonlijke gegevens van maar liefst 70 miljoen consumenten in gevaar brengen. Hier is een blik op de tijdlijn van de cyber-strijd die sinds overspoeld Target heeft gevraagd Congres hoorzittingen en heeft geleid tot een internationale klopjacht voor de hackers. (Bron: Bloomberg)

In getuigenis voor het Congres, heeft Target gezegd dat het was pas na het Amerikaanse Ministerie van Justitie gemeld bij de retailer over de breuk in het midden van december van dat bedrijf de onderzoekers ging terug om erachter te komen wat er is gebeurd. Wat het heeft niet publiekelijk onthuld: gebogen over computer logs, Target gevonden waarschuwingen FireEye’s van 30 november en meer van 2 december, toen hackers nog een andere versie van de malware geïnstalleerd. Niet alleen moeten deze alarmen zijn onmogelijk te missen geweest, gingen ze weg vroeg genoeg dat de hackers niet begonnen was het verzenden van de gestolen kaart data uit van het netwerk van Target’s. Had het bedrijf security team reageerde toen het moest, de diefstal, dat sinds overspoeld Target heeft aangeraakt maar liefst een op de drie Amerikaanse consumenten, en heeft geleid tot een internationale klopjacht op de hackers zou nooit helemaal zijn gebeurd.

Het hart van Target’s antihacking operatie is afgezonderd in een hoek kamer op de zesde verdieping van een gebouw in het centrum van Minneapolis. Er zijn geen interne-gerichte ramen, maar een gesloten deur. Bezoekers een belletje rinkelen, dan wachten op een visuele scan voordat ze ‘m smeren in.

Als je er een security operations center of SOC hebt gezien, heb je ze allemaal in wezen gezien. Binnen analisten zitten in de voorkant van rijen van schermen die Target miljard dollar IT-infrastructuur te bewaken. Overheidsinstellingen bouwen vaak hun eigen SOC’s, net als de grote banken, defensie aannemers, tech bedrijven, draadloze carriers en andere bedrijven met een gecentraliseerde voorraden van hoogwaardige informatie. Retailers, echter de neiging niet te doen. De meeste nog steeds richten op hun primaire taak, het verkopen van spullen in een deel omdat hun uitgestrekte netwerk van winkels en e-tailing toegangspunten zijn moeilijk te vergrendelen tegen invallen. Een drie jaar durende studie door Verizon Enterprise Solutions gevonden dat bedrijven schendingen door hun eigen controle in slechts 31 procent van de gevallen te ontdekken. Voor retailers, het is 5 procent. Ze zijn de wildebeesten van de digitale savanne.

Op 30 november, volgens een persoon die op het onderzoek Target heeft geraadpleegd, maar is niet bevoegd op de plaat te spreken, de hackers ingezet hun op maat gemaakte code, wat leidde tot een FireEye waarschuwing die onbekende malware aangegeven: «. Malware.binary» Details spoedig gevolgd, met inbegrip van adressen voor de servers waar de hackers wilden hun gestolen gegevens moeten worden verzonden. Als de hackers geplaatst meer versies van dezelfde malware (ze kunnen zijn gebruikt maar liefst vijf, security onderzoekers zeggen), het beveiligingssysteem stuurde meer signaleringen, elk de meest dringende op graded schaal FireEye’s, zegt dat de persoon die op Target heeft geraadpleegd sonde.

«De malware gebruikt is absoluut onbedorven en oninteressant», zegt Jim Walter, directeur van de bedreigingen operaties op security technologie bedrijf McAfee

De breuk kon er gestopt zonder menselijke tussenkomst. Het systeem heeft een optie om automatisch malware te verwijderen, want het is ontdekt. Maar volgens twee mensen die prestaties FireEye’s gecontroleerd na de breuk, Target’s security team draaide die functie uit. Edward Kiledjian, chief information security officer voor Bombardier Aerospace, een vliegtuig maker die FireEye heeft gebruikt voor meer dan een jaar, zegt dat is niet ongebruikelijk. «Typisch, als een security team, wilt u dat laatste beslissing punt hebben van ‘wat moet ik doen,’ ‘zegt hij. Maar, waarschuwt hij, die druk legt op een team om snel te vinden en neutraliseren van de geïnfecteerde computers.

Doel was een maanden durende test van FireEye die eindigde in mei en was het uitrollen van de technologie in de hele massale IT-systeem van het bedrijf gedaan. Het is mogelijk dat FireEye nog bekeken worden met enige scepsis door zijn oppassers op het moment van de hack, zeggen twee mensen die bekend zijn met Target’s veiligheidsoperaties. En de SOC manager, Brian Bobo, vertrok het bedrijf in oktober, volgens zijn LinkedIn-pagina, waardoor een cruciale functie vacant. (Bobo weigerde commentaar te geven.) Toch was het duidelijk Target kreeg waarschuwingen van een ernstige compromis. Zelfs de onderneming antivirus systeem, Symantec Endpoint Protection, die verdacht gedrag gedurende een aantal dagen rond Thanksgiving-wijst naar dezelfde server geïdentificeerd door de FireEye waarschuwingen. «De malware gebruikt is absoluut onbedorven en oninteressant», zegt Jim Walter, directeur van de bedreigingen operaties op security technologie bedrijf McAfee. Als Target een stevige greep op de veiligheid van het netwerk omgeving had gehad, voegt hij eraan toe, «ze zou absoluut dit gedrag dat op zijn netwerk hebben waargenomen.»

Target veiligheid blunders niet ten einde. Zijn woordvoerster Molly Snyder, zegt de indringers hadden toegang tot het systeem dankzij het gebruik van gestolen geloofsbrieven van een externe leverancier. Brian Krebs, een security blogger wiens website krebsonsecurity.com eerste brak het nieuws van de Target hack. heeft gemeld dat de verkoper was een koeling en verwarming bedrijf in de buurt van Pittsburgh genoemd Fazio Mechanical Services. Een verklaring op de website van Fazio’s zegt dat de IT-systemen en veiligheidsmaatregelen in overeenstemming zijn met praktijken in de branche, en de dataverbinding naar Target was puur voor de facturering, contract indiening, en projectmanagement. Target-systeem, net als elke standaard bedrijfsnetwerk, is gesegmenteerd zodat de meest gevoelige delen, waaronder betalingen van klanten en persoonlijke gegevens worden ommuurde off uit andere delen van het netwerk en, vooral, het open internet. muren doel had uiteraard gaten. malware de hackers ‘vermomde zich met de naam BladeLogic, waarschijnlijk om een ​​component in een data center management product na te bootsen, volgens een rapport van Dell SecureWorks. (SecureWorks is een van de vele cybersecurity bedrijven die hun handen kreeg op de Target malware, die openbaar werd gemaakt op verschillende websites gebruikt door onderzoekers te helpen andere bedrijven afweren soortgelijke aanslagen.) Met andere woorden, de hackers gehuld hun slechte code met de naam legitieme software die wordt gebruikt door bedrijven om de kaarthouder en de betaling gegevens te beschermen.

Zodra hun malware succesvol was op zijn plaats op 30 november-de gegevens niet daadwerkelijk beginnen met het verplaatsen van het netwerk van Target’s tot 2 december-de hackers had bijna twee weken de tijd om credit card nummers plunderen ongedeerd. Volgens SecureWorks werd de malware ontworpen om gegevens automatisch naar drie verschillende U.S. halteplaatsen, werken alleen tussen de uren van 10:00 en 18:00 Central Standard Time. Dat was vermoedelijk om ervoor te zorgen dat de uitgaande gegevens zouden worden ondergedompeld in de reguliere werktijd verkeer. Van daaruit worden de kaartinformatie ging naar Moskou. Seculert, een Israëlische beveiligingsbedrijf, was in staat om de activiteit van de hackers te analyseren op één van de US-based halteplaatsen, die liet ze uiteindelijk het nemen van 11 gigabytes aan gegevens er opgeslagen op een in Moskou gevestigde hosting service genaamd vpsville.ru. Alexander Kiva, woordvoerder van vpsville.ru, zegt het bedrijf heeft te veel klanten om hen effectief te controleren, en dat het niet was benaderd door Amerikaanse onderzoekers in februari.

Als Target security team op zijn vroegst FireEye waarschuwingen had gevolgd, zou het zijn geweest achter de hackers op hun ontsnapping pad. De malware had gebruikersnamen en wachtwoorden voor de dieven ‘staging servers ingebed in de code, volgens Jaime Blasco, een onderzoeker van de bewakingsfirma AlienVault Labs. Target veiligheid zou hebben aangemeld bij de servers zelf gelegen in Ashburn, Va. Provo, Utah, en Los Angeles-en gezien dat de gestolen gegevens zitten te wachten op de dagelijkse pick-up de hackers ‘. Maar tegen de tijd bedrijf onderzoekers bedacht dat uit, werden de data al lang voorbij.

Foto door Joe Raedle / Getty Images

De ingewanden van de malware-code die een aantal intrigerende leads. Eén van de wachtwoorden was Crysis1089. Dat gebeurt aan de bijnaam van een Xbox gamer te zijn. (Zijn rang op de Xbox Live wereldwijde leaderboard met ingang van 10 maart:. 11450001) Het lijkt ook een verwijzing naar de oktober 1989 datum van de massale protesten die de Oekraïense onafhankelijkheid en de ontbinding van de Sovjet-Unie voorafgegaan zijn.

Toch is er geen definitief bewijs dat Rescator en Khodyrevskiy dezelfde persoon zijn. Krebs, de security blogger die als eerste het doelwit hack bekendgemaakt, meldde dat toen hij een instant-bericht gestuurd naar één van de adressen Rescator’s, met de vraag om te spreken met «Rescator a / k / a Andrey,» kreeg hij een antwoord van iemand af te vragen waarom hij wilde contact met die persoon. Later kreeg hij een bericht van het adres Rescator’s bieden hem $ 10.000 zijn artikel, dat Rescator geïdentificeerd als Khodyrevskiy niet te publiceren. US Secret Service Special Agent Brian Leary, woordvoerder van de cybercrime-eenheid, aldus het agentschap kon geen commentaar geven op de vraag of het een onderzoek naar de identiteit van Rescator of had de kaarder site naar een bepaalde persoon verbonden.

De Odesskiy Forum hacker screwed up: Hij stroomde de gestolen e-mailadressen naar een proxy-server die niet voldoende capaciteit om ze allemaal op te vangen had. Sommige data overgeslagen naar de eigen computer van de hacker, bloot zijn IP-adres. Kozin gewaarschuwd Oekraïense veiligheidspolitie, en binnen een paar dagen hadden ze een arrestatie gemaakt: Khodyrevskiy. Hij werd veroordeeld en kreeg drie jaar voorwaardelijke straf. Kozin, voor een, vindt het moeilijk te geloven dat dit onbekwame kleine-time hacker een van de grootste credit card heists ooit had kunnen brein. «Hij was zwak, heel onprofessioneel,» zegt hij.

Bloomberg Businessweek kon Khodyrevskiy bereiken. E-mail en instant messages verstuurd naar adressen hij gewend teruggestuurd of onbeantwoord. Een mobiele telefoon hij eerder gebruikte is verbroken. Er was geen spoor van hem in de binnenstad van Odessa adres voor Ghost.ua, een web hosting bedrijf liep hij voor een tijd.

Vier consultants vertrouwd met de Target sonde zeggen dat het waarschijnlijk is dat Rescator schreef het Target malware. Het woord «Rescator» belandde in het Target code per ongeluk: Het is de naam van de home directory van de computer waarop de code is opgesteld. Voor Zadorozhko, de hervormde hacker, het feit dat een alias getoond in de Target malware suggereert dat Rescator was, op zijn best, een low-level «monkey» in de operatie die slechts werd gegeven blokken van de gestolen kaarten te verkopen. «Niemand die serieus zou zo’n domme ding als om Zijn Naam aldaar te zetten,» zegt hij.

Dit alles betekent dat het onwaarschijnlijk dat iemand met Rescator vaardigheid set alleen zou hebben gehandeld. Modern computercriminaliteit is vaak een groep affaire, gepleegd door bendes, waarvan de leden te brengen verschillende mogelijkheden om de caper. In recente getuigenis voor het Congres, William Noonan, adjunct speciale agent die belast is met de geheime dienst van cybercriminaliteit onderzoeken divisie, vergeleek het om de film Ocean’s Eleven. Om de vergelijking van toepassing op de Target hack, kan Rescator George Clooney-de leider die andere criminelen aangeworven met de echte vaardigheden zijn geweest. Rescator schreef de code, onderzoekers suggereren, werkte vervolgens met een groep van meer deskundige hackers die het netwerk geschonden en verwijderde de gegevens. De groep werkte hij samen met zijn ten opzichte van nieuwkomers, en het netwerk van servers die ze gebruikt, samen met andere aanwijzingen, sluit ze aan ten minste zes andere gegevens diefstallen in de afgelopen twee jaar, zeggen de onderzoekers.

Rescator vlaggenschip site voor de verkoop van illegale credit card nummers, Rescator.so, is onopgesmukte-no logo’s, geen achtergrond beelden, alle zakelijke en zeer gebruiksvriendelijk. Shoppers kunnen kopen individuele kaartnummers of laden door de duizenden en krijgen een bulk korting. Drop-down menu’s filter per geografische regio, alsmede door de bank en het type kaart (ATM, American Express Blue, Visa, enz.). U kunt ook filteren op de vervaldatum, de laatste vier cijfers, en de stad. Die laatste eigenschap is bijzonder indrukwekkend, zegt Mark Lanterman, een voormalig lid van de Geheime Dienst Electronic Crimes Task Force die nu zijn eigen digitale recherche bedrijf, Computer Forensic Services, in Minnetonka, Minn loopt. «Oplichters willen creditcards te kopen voor gebieden waar ze leven, «zegt hij, om de banken fraude controle te verijdelen. Als een kaartnummer gekoppeld aan een factuuradres in New Jersey plotseling opduikt in Stockholm, dat is een rode vlag.

Lanterman zegt dat 10 jaar geleden, in de tijd van Carderplanet, websites als Rescator waren publiek. Nu moet je een aanvraag voor referenties. Lanterman kreeg zijn na de loer op de zwarte markt forums, het bouwen van een aanwezigheid en een persona als een speler in de kaarder ondergrondse. «Je gewoon rond te hangen», zegt hij. «Uiteindelijk ze denken gewoon dat je het zelfde soort scumbag ze zijn en zeggen: ‘Yep, hier is uw login.’ ‘

Rescator kunnen zijn geweest als George Clooney in Ocean’s Eleven -de leider die andere criminelen aangeworven met de echte vaardigheden. Hij schreef de code, werkte vervolgens met een groep van meer deskundige hackers om de gegevens te verwijderen

Zittend in zijn conferentieruimte, Lanterman trekt Rescator.so in de browser van zijn laptop en toont een drop-down menu van de kaarten te koop. Hij komt in dorpen en steden. Voor Minnetonka, ongeveer 12 mijl van het hoofdkwartier Target met een bevolking van 51.000, zijn er 7000 kaarten te koop. Voor een ander Minneapolis voorstad, Plymouth, bevolking 73.000, zijn er 5335 kaarten beschikbaar. Fayetteville, Ark. 3685. Torrington, Conn. 5115. De kaarten lopen van $ 6 per stuk voor een prepaid gift card tot bijna $ 200 voor een American Express Platinum en Rescator accepteert betaling in Bitcoin en Western Union. De aangifteperiode-voor het geval een aantal van de kaarten werken niet-is zes uur, afhankelijk van de site vervangen beleid pagina, die wordt afgedrukt in het Russisch en Engels voor een betere klantenservice. Lang voordat zes uur zijn verstreken, kunnen dieven de stash van gestolen nummers op valse kaarten te hebben en te laden tot een storm van de aankopen in winkels of online, vaak in de vorm van cadeaubonnen die gemakkelijk kunnen worden omgezet in cash. Uiteindelijk een bank vangt wind van de fraude en bevriest de kaart. Voor de dief, is het aan de volgende.

Target voor het eerst publiekelijk bevestigde de breuk in een persbericht op 06:00 op 19 december Kelly Warpechowski, een 23-jarige IT-recruiter in Milwaukee, al wist dat er iets mis was. Haar bank meegedeeld haar dat iemand in Rusland $ 900 had doorgebracht bij «een oliemaatschappij» met behulp van haar kaart. Target had Warpechowski’s go-op te slaan, maar ze zegt dat ze maar twee keer sinds bezocht.

Die nacht, Jamie Doyle, die is bij de marine en woont in Chesapeake, Va. Kreeg een fraude alert van de Navy Federal Credit Union, terwijl hij ‘s nachts aan boord plicht was. Zijn vrouw, Tracy, een school toespraak patholoog, controleerde de volgende ochtend en vonden hun pinpas waren uitgelekt, met meer dan $ 600 in de openstaande bedragen. «We werden letterlijk gaan in onze kerstdiner te kopen, en we hadden geen geld,» zegt ze. Jamie, die bijna nooit bij Target gewinkeld, had zijn pinpas te grijpen $ 5 ter waarde van boodschappen uit een Chesapeake winkel op Black Friday. Het kaartnummer werd vervolgens gebruikt door dieven op een Ellicott City (Md.) Target op te slaan, zegt Tracy. Ze wijt de retailer voor de schending en voor niet nader te controleren wanneer de frauduleuze gebruiker belde de beschuldigingen. Waarom niet de kassier vragen voor ID om de kaarthouder te controleren, vraagt ​​ze zich af. De bank gecrediteerd houdend met de Doyles in twee dagen, zegt Tracy. Ze niet meer winkels bij Target.

Foto door Allen Fredrickson / Reuters / Corbis

Voordat het hier, het is aan de Bloomberg Terminal. KOM MEER TE WETEN

Bron: www.bloomberg.com


Read more

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

one + four =