Данные кредкарт 70 млн клиентов сети Target украл вирус «Картоха»

Уже больше месяца в США развивается история с проникновением хакеров в компьютерные системы сети магазинов Target. Сеть магазинов Target является одно из крупнейших в США и насчитывает около 2 тысяч магазинов.

По последним данных, были украдены личные данные (имена, адреса), номера кредитных карт и пинкоды(!) к картам 70 млн покупателей. Американские банки массово уменьшали лимиты и перевыпускали карты, которые могли быть скомпрометированы. На этой неделе также выяснилось, что хакеры атаковали не просто сети компании или её системы хранения информации (DWH), а некий вирус проникал непосредственно на кассовые компьютеры (POS-терминалы).

И вот, сегодня «Ведомости», со ссылкой на WSJ, пишут, что за атакой могут стоять русские хакеры и оргпреступность с территорий бывшего СССР. А кодовое название вируса — «Kaptoxa» (то есть просторечное обозначение картофеля в русском языке).

По словам экспертов, на которые ссылается ИТАР-ТАСС, утечка персональных данных из Target стала второй по масштабам в истории США.

Добавить 8 комментариев

  • Ответить
    Альтер Эго

    Для тех кто не хочет читать бред журналистов кратко расскажу что произошло. В одной из ретейловых сетей использовались POS (Point of sale) терминалы, естественно на Винде, скорее всего какой-либо embedded куда антивирус мало кто устанавливает. К терминалам получшили доступ злоумышленники, скорее всего путем подбора паролей к удаленному доступу (RDP или VNC).После этого они установили небольшое ПО, смысл которого был в том, чтобы искать в участки памяти, которые напоминают данные о кредитной карте. У этого ПО нет функционала самораспространения, его нужно «ставить» вручную. Как только данные о кредитных картах находились, то они немедленно пересылались на сервер злоумышленников. Т.е. всякий раз как только происходила оплата картой, данные магнитной полосы улетали на сервер. Теперь эти данные активно продаются на всяческих подпольных российских ресурсах. Вся «русскость» программы заключается в том что во вредоносном коде предусмотрена работа без интернета. Т.е. вредонос копит данные и как только обнаруживает флешку с меткой тома «KAPTOXA» сразу же перекидывает их на флешку. Написать такую программу может любой более или меннее владеющий предметом старшеклассник. Задетектить малвару можно было просто по трафику, увидев что в левое место заливаются гигабайты данных. Если кратко тема баян, но забавно наблюдать как крупные американские корпорации страдают от русскоговорящих школьников.

  • Ответить

    Анонимный эксперт — интересно и правдоподобно, за некоторым исключением того, что POS-терминал («касса») же обычно не видит карточку как таковую (ну уж точно не PIN), карточку видит банковский терминал. А оные, насколько я видел, сплошь на Java, да еще и, AFAIK, j2me. И софт в него просто залить по VNC из сети ритейлера не должно быть можно, это же кусок банка (ну как ATM).

  • Ответить
    Альтер Эго

    Алексей, вы говорите про Россию, в америке другие реалии. По ссылке можете прочитать чат с авторами: http://securityaffairs.co/wordpress/21337/cyber-crime/blackpos-malware.html Там он говорит что их программа не работает на Verifone, потому что Verifone работает именно так, как вы описали. Так же обратите внимание на используемые пароли на POS’ах. Ну и на закуску, ссылка: http://www.seculert.com/blog/2014/01/pos-malware-targeted-target.html Цитата: They continued to download the data over 2 weeks for a total of 11 GBs of stolen sensitive customer information.