Počítačoví experti ze společnosti Flashpoint odhalili novou útočnou kampaň, jejímž cílem jsou platební terminály využívány v maloobchodě. Hackeři se tímto způsobem snaží ukrást citlivé informace o platebních kartách. Bližší informace o hrozbě zveřejnil web Bleeping Computer.
Nenápadně se šířil od roku 2016
Malware označený názvem "DMSniff" je využíván v cílených útocích zaměřených na malé a střední podniky z celého světa. Infiltrace byla například odhalena ve společnostech provozujících kina, restaurační služby či v zábavním průmyslu.
Neznámí hackeři se tak zaměřili na podniky, které sice využívají platební terminály, ale současně je nedokážou dostatečně zabezpečit. Svědčí o tom i fakt, že DMSniff se podařilo odhalit až po více než třech letech.
Prvotní infekce terminálu probíhá vzdáleně přes internet, přičemž k tomu slouží dvě různé formy útoků. Kybernetičtí zločinci vyhledávají neaktualizovaná zařízení obsahující známé zranitelnosti nebo zařízení s nedostatečně zabezpečeným SSH terminálem.
Zabezpečení SSH je totiž možné buď prostřednictvím jména a hesla, nebo s využitím kryptografických klíčů. Přihlašování se přes jméno a heslo představuje nejslabší formu ochrany, neboť ji útočníci mohou relativně snadno prolomit (útokem hrubou silou, případně slovníkovým útokem). Naopak, kryptografické klíče jsou při vhodném zacházení velmi silnou ochranou.
Jak je zřejmé, útočníci se v tomto případě zaměřují právě na SSH terminál chráněný jen jménem a heslem.
Zastavení je téměř nemožné
Malware po úspěšné infiltraci začne monitorovat seznam všech spuštěných procesů. Když odhalí proces vykazující specifické znaky, tak se spustí analýza operační paměti terminálu. Cílem je extrahovat číslo platební karty a další citlivé informace. Odcizená data následně putují na vzdálený server útočníků.
V uvedené kampani bylo aplikovaných několik ochranných mechanismů, které mají zakrýt škodlivou aktivitu či ztížit její zastavení. Za zmínku stojí například absence statického řídicího serveru.
Hackeři totiž využili techniku známou jako DGA (Domain Generation Algorithm). Podle určitého algoritmu se nejprve vygeneruje velké množství potenciálních domén, na kterých by se mohl nacházet řídicí server. DMSniff následně tyto domény ověří a připojí se na tu, kde se reálně nachází server útočníků. Díky tomu je globální zastavení kampaně téměř nemožné.
Pokud totiž orgány donucovací vypnou jednu z domén, tak si hackeři jednoduše zaregistrují další. Malware opět vygeneruje seznam potenciálních domén a připojí se na tu s funkčním serverem. Celý koloběh se může takto opakovat donekonečna a malware zůstává nepozorovaně v činnosti až do jeho odstranění z infikovaného terminálu.
Nedejte útočníkem šanci
Výzkumníci v rámci prevence doporučují pravidelné aktualizaci terminálů, respektive komplexních POS systémů. Kromě toho je třeba se vyvarovat slabému zabezpečení SSH terminálu, případně jej zcela vypnout.
Detailní technické informace o kampani se nacházejí na oficiálním blogu bezpečnostní společnosti Flashpoint. Seznam dosud využitých domén v rámci techniky DGA, jakož i vzorky malwaru se nacházejí na tomto odkazu .
