Det var malwaren Trojan.POSRAM, som gjorde det muligt for hackere at stjæle kreditkort-informationer om op til 110 millioner kunder hos indkøbskæden Target i USA.
Sådan lyder det i en rapport om operation Kaptoxa, som hackerangrebene mod Target og andre butikskæder er blevet døbt, forfattet af Secret Service med hjælp fra en række andre myndigheder i USA. Det skriver Wired.com.
Trojaneren er bygget på BlackPOS – hvor POS står for ‘point of sale’, altså kasseapparatet – som blev udviklet i Rusland i 2013 og er kendt af antivirusfirmaerne. Så for at undgå, at malwaren blev genkendt af antivirus, blev den nye variant grundigt ændret.
Ved hjælp af andre hackerværktøjer blev Trojan.POSRAM listet ind på butikkernes computere, med den opgave at holde øje med indholdet af RAM, når bestemte programmer skrev til hukommelsen, nemlig den software, der blev brugt til at håndtere betalingerne.
Ved at tage data om betalingskort direkte fra hukommelsen, undgik hackerne at skulle bryde den kryptering, der normalt bliver brugt til betalingsdata alle andre steder end lige netop i hukommelsen under transaktionen.
De stjålne data blev gemt lokalt, og én gang i døgnet, på skiftende tider imellem klokken 10 og 17, blev data sendt videre via NetBIOS til en central host, der også var oprettet af hackerne på ofrenes interne netværk. Herfra kunne dataene så hentes løbende via FTP.
Ingen af de elementer, der blev brugt af hackerne, var hver for sig noget ekstraordinært, men tilsammen var det en kompliceret operation, lyder vurderingen fra sikkerhedsfirmaet iSight.
Leave a Reply