Украли данные? Во всем виновата система удаленного доступа третьей компании

Подробные исследования этих инцидентов утечки данных показали, что основной
способ взлома системы и проникновения, которым пользуются мошенники –
приложение третьих лиц для удаленного доступа и поддержки системы.

«Большая часть нашего анализа – 76% — показала, что хакеры использовали
приложения для удаленного доступа к системе, разработанное третьими лицами» —
говорится в отчете компании Trustwave.

Visa, MasterCard и другие эмитенты кредитных карт провели свое расследование
и нашли виновные организации — эти 312 компаний были ресторанами, отелями или
магазинами розничной торговли.

Только 16% компаний смогли определить кражу самостоятельно.  Но во всех
остальных случаях причиной расследования стали звонки от Visa или MasterCard с
требованием расследовать массовую кражу номеров кредитных карт своих
клиентов.

Во всех 312 случаях было доказано, что имело место злонамеренное
проникновение в сеть компаний. Из них 29% атак пришло из Российской Федерации,
источник 32.5% акта не известны, потому что они использовали специальные
сервисы-анонимайзеры.

И хотя все компании-жертвы заявляют, что удовлетворили стандарты политик
безопасности эмитентов кредитных карт (PCI), в реалдьности здесь были дыры,
которыми и воспользовались злоумышленники. Чаще всего мошенники крали легкий
пароль и использовали приложения для удаленного доступа и VPN, используемые для
поддержки системы.  

«Системы требуют логины и пароли, но зачастую эти пары очень просты:
administrator:password, guest:guest, или admin:admin – такие пары часто
фигурировали в наших расследованиях» — говорится в отчете. В одном из случаев
2011 года, было выявлено 90 локаций, с которых люди использовали одни и те же
пароли доступа».

Согласно требованиям стандартов PCI для удаленного доступа необходима
двухфакторная аутентификация, но это правило не было соблюдено. Вендорам, чьи
разработки использованы в краже данных, предъявлены требования исправить дыры в
своих приложениях и заплатить штраф в связи с несоблюдением стандартов PCI,
плюс – возместить украденные суммы.

В отчете компании Trustwave также содержится весьма шокирующая статистика:
«В среднем количество времени, проведенное злоумышленниками в системе
компании-жертвы, достигало 173,5 дней до того, как его обнаруживали». Те
предприятия, которые обнаруживали взлом самостоятельно, делали это в среднем
через 43 дня после взлома.

Также в прошлом году в Европе прошел инцидент массированной атаки широкой
сети провайдера, когда более тысячи серверов были атакованы одновременно, в
данном случае слабой точкой признан протокол X.25»

Протокол X.25, который в 80х использовали для создания сети, все еще
используется в некоторых финансовых институтах для внутренних сетей обмена
данными. Атакующие идентифицировали это и переписали известный руткит для
операционной системы HP-UX. После чего инсталлировали его на несколько
серверов, работающих с данными кредитных карт, чтобы скрыть вредоносный
код.

Вредоносный код перехватывал трансакции и заменял их после инфицирования.
Этот встроенный код перехватывал все внутренние передачи, включая
незашифрованные данные по картам из памяти системы, которая обычно при хранении
и передаче шифруется.

Эта атака осуществлялась на протяжении 18 месяцев, и была обнаружена только,
когда внутренний сбой самого вредоносного кода возбудил подозрение сотрудников
операционного центра своим поведением.

Подготовлено НП «СОДЕЙСТВИЕ»