Розничные магазины США под атакой российских хакеров

  • 22 января 2014
Новый отдел Microsoft по борьбе с киберпреступностью Правообладатель иллюстрации Reuters
Image caption В ноябре Microsoft создал отдел по борьбе с киберпреступностью

18 декабря бывший корреспондент Washington Post, а ныне популярный блогер по проблемам кибербезопасности Брайян Кребс напечатал статью, в которой говорилось, что в последнее время черный рынок наводнен данными кредитных и дебитовых карт, похищенных у гигантской сети дешевых универмагов Target.

По словам автора, данные предлагались по цене от 20 до 100 долларов за карту.

Это было первое сообщение о взломе электронных закромов компании, имеюшей в США около 1900 магазинов. Как писал Кребс, Target вел расследование взлома, в ходе которого могли быть похищены данные буквально милллионов карт. Вскоре компания объявила, что неизвестные злоумышленники похитили данные 40 миллионов ее покупателей, в том числе их PIN-номера. Последние, впрочем, были зашифрованы, поэтому мошенники не могли вынимать с их помощью деньги из банкоматов.

Не достались им и коды безопасности, известные как номера CVV2 и напечатанные на оборотной стороне карт.

Черная пятница

По словам компании, жертвами сделались люди, которые делали покупки в ее магазинах с "черной пятницы", то есть с 27 ноября по 15 декабря. Тех, кто отоваривался онлайн, эта напасть не коснулась.

В начале января Target объявила, что были похищены также имена, номера телефонов, почтовые и электронные адреса еще 70 миллионов ее покупателей. С тех пор в СМИ мелькает цифра 110 милллионов пострадавших, хотя на самом деле их было несколько меньше, поскольку обе группы иногда включали одних и тех же людей.

Поступили сообщения о том, что жертвой взлома сделалась и сеть дорогих магазинов Nieman Marcus. Агентство Рейтер сообщило, что, по его сведениям, пострадали еще по крайней мере три известные американские компании.

Все они, как правило, воздерживались от комментариев и не торопились делиться информацией о том, каким образом был совершен взлом. Лишь в январе Target сообщил, что зловредное программное обеспечение было запущено в торговые терминалы, через которые покупатели прокатывают свои карты.

Эта программа перехватывает данные, кратковременно попадающие в память терминалов во время платежа и в этот момент не зашифрованные. Пользуясь этими данными, мошенники затем клонируют кредитки и оплачивают ими дорогие покупки.

Один из информантов Кребса рассказал ему, что когда зловредная программа тайно устанавливалась в терминалах компании до 27 ноября, на нее не среагировал ни один из десятков антивирусов Target. Не распознали они и другие хакерские программы, при помощи которых мошенники взломали ее комптьютеры.

Кребс также первым сообщил, что, по заключениям следователей, хищение данных производилось посредством кода, родственного тому, который продается на киберкриминальных форумах и носит название BlackPOS. Автор называет его "сравнительно топорным, но эффективным орудием киберпреступников".

Российский Антикиллер

Изобретателем BlackPOS является человек, который пользуется несколькими прозвищами, в том числе Антикиллер. По его словам, эта программа имеет объем в 207 килобайтов и расчитана на то, чтобы обходить брандмауэры. Дешевая ее версия продается за 1800 долларов, а дорогая "с наворотами", например, с кодированием украденных данных, - 2300.

Принято считать, что BlackPOS был разработан в прошлом году в России.

Как удалось выяснить Кребсу, после того как преступники запустили зловредную программу в терминалы компании, они спрятали в ее электронных недрах свой собственный сервер, в который поступали похищенные данные. Сидя за своими компьютерами, они периодически связывались с этим сервером и скачивали добычу.

Рекламируя свое детище, Антикиллер вывесил на одном криминальном форуме видеоклип, на котором российская компания Group-IB, специализируюшаяся на кибербезопасности, разглядела URL-адрес и попала через него на социальный сайт "Вконтакте".

Так она, по ее словам, вышла на группу молодых россиян и украинцев, активно занимающихся целым букетом киберпреступлений и связанных с хактивистским коллективом Anonimous.

Код "картоха"

В середине января поступили сообщения, что зловредная программа, от которого пострадала Target и другие американские компании, является троянской программой Trojan.POSRAM. Часть соответствующего кода написана по-русски. Поскольку там несколько раз встречается слово "картоха", следователи дали троянцу имя "kaptoxa".

Как говорится в закрытом докладе следственной бригады, который предоставляют только пострадавшим компаниям, "Картоха" является близкой родственницей программы BlackPOS, но обладает рядом модификаций, которые сделали ее невидимой для антивирусов.

По словам Джейса Николса, который заведует отделом анализа киберпреступности в техасской фирме iSightPartners, отдельные компоненты кибератаки на американские компании "не обязательно отличались изощреннностью", но атака была виртуозно оркестрирована.

Компания iSight, которая расследует инцидент вместе с правительственными органами, говорит, что речь идет о поистине беспрецедентной атаке на целую группу розничных магазинов. Американская розничная торговля ежегодно оформляет платежи на 3,3 триллиона долларов.

Target сильно пострадала, учитывая, что на середину января против нее были возбуждены более 20 исков. С компанией в основном судятся покупатели, но иск ей предьявил и один коннектикутский банк, которому пришлось покрыть убытки своих клиентов и выдать им новые карты.

Небольшая калифорнийская компания IntelCrawler, чей директор Андрей Комаров, как сообщают, раньше работал в российской Group-IB, воспользовалась тем же сайтом "Вконтакте" и заявила 17 января в пресс-релизе, что выявила с его помощью человека, который имел непосредственное отношение к кибератаке в США.

Компания назвала юного Сергея "Тараспова", который якобы "имеет корни в Петербурге и Нижнем Новогороде" и является "известным программистом и разработчиком зловредных кодов".

Юноша, который на самом деле проживает в Новосибирске и носит фамилию Тарасов, категорически отрицает причастность к кибераферам и говорит, что не силен в программировании.

Гордость за выпускника

Указанного пресс-релиза больше нет на сайте компании, которая потом назвала другого соавтора "Картохи" – 23-летнего Рината Шабаева, проживаюшего в Саратове.

Последний заявил в интервью LifeNews, что "Картоха" "писалась на продажу и не была предназначена именно для похищения данных".

"Программа предназначена для граббинга данных, - сказал Шабаев. – То есть, точнее, чтобы копировать данные кредитных карт... Если использовать эту программу со злым умыслом, то можно неплохо зарабатывать, но это незаконно. Поэтому я не хотел этим заниматься, просто писал для продажи, чтобы не самому ей пользоваться, а пускай люди ей пользуются, и на их совести все будет".

Шабаев закончил Технологический институт в Энгельсе.

Информационное агентство "Свободные новости-Волга" передало материал под названием "Преподаватели энгельского вуза гордятся своим студентом, создавшим вирус "Картоха".

Первый заместитель директора института Андрей Яковлев заявил радиостанции "Эхо Москвы в Саратове": "То, что он сделал, говорит о двух вещах: что он действительно квалифицированный специалист, и, что нам скрывать, нам приятно, что наш студент может себя реализовать, как специалист. Другое дело, что он сделал это не совсем в позитивной области. Но это уже, наверное, влияние социума".

Новости по теме