コンピュータ犯罪情報会社が金曜日に発表したところによると、サイバー犯罪者はターゲットを侵害したのと同様のPOSマルウェアを使って、さらに6つの米国の小売業者から決済カードデータを盗んだという。
この結論は、サイバー犯罪者がデータや悪意あるソフトウェアツールを売買する会員限定フォーラムの調査から得られたものだと、分析を行ったインテルクローラーの社長ダン・クレメンツ氏は述べた。
小売業者の名前は公表されていないが、インテルクローラー社は情報漏洩に関連する技術情報を法執行機関に提供しているとクレメンツ氏は金曜日の電話インタビューで語った。
ハッカーのツールが判明
IntelCrawlerは、カード読み取り後に暗号化されていない決済カードデータを傍受するマルウェア「BlackPOS」を作成したとされる17歳のロシア人を特定しました。セキュリティ専門家は、Targetに対してBlackPOSをベースにしたマルウェアが使用されたと考えています。
IntelCrawlerが分析したフォーラムの投稿によると、ネット上のニックネームが「ree4」であるこのティーンエイジャーは、東欧などのサイバー犯罪者にBlackPOSのコピーを40枚以上販売していた。
インテルクローラー セキュリティ企業インテルクローラーは、ターゲットに対して使用されたマルウェアを作成した可能性のあるロシアの10代の若者を特定したと発表した。
クレメンツ氏は、フォーラムの投稿や情報源に基づいて、インテルクローラーは調査結果に「90%」確信を持っていると述べた。
フォーラムの投稿から、この少年はマルウェアを2000ドルで売ったか、盗んだクレジットカード情報を現金化して得た利益の一部を得ていたことがわかるとクレメンツ氏は述べた。
IntelCrawlerによると、BlackPOSは盗まれたカード情報を売買する.rescator、Track2.name、Privateservices.bizなどの「カード取引」ウェブサイトにも販売されていた。
BlackPOSは元々、ロシア語でジャガイモを意味するスラング「Kaptoxa」という名前でした。クレメンツ氏によると、このロシアのティーンエイジャーは、新たなマーケティング活動の一環として、最終的にマルウェアの名前をBlackPOSに変更したとのことです。
ダラスに拠点を置くセキュリティ企業iSight Partnersは今週初め、ターゲットへのハッキング事件(同社は「Kaptoxa作戦」と名付けた)に関する報告書を発表した。報告書によると、ハッカーたちは高度な技術を駆使して、小売業者のネットワークに密かにアクセスしたという。
POS端末への繰り返しの攻撃
2013 年初頭以来、IntelCrawler は地下フォーラムで POS 端末のログイン認証情報が活発に取引されていることを確認しており、サイバー犯罪者が決済カード データの取り扱い方法に関する業界のセキュリティ推奨事項に依然として欠陥を見つけていることを示唆しています。
サイバー犯罪者はPOS端末の「リモートデスクトッププロトコル」認証情報を販売しており、これによってマシンにアクセスできるようになるとクレメンツ氏は述べた。
彼によると、多くのケースでは、米国、オーストラリア、カナダに設置された端末のデフォルトパスワードが変更されていなかったという。また、サイバー犯罪者がユーザー名とパスワードの様々な組み合わせを試し、正しい組み合わせを見つけ出す、いわゆるブルートフォース攻撃に成功したケースもあった。
