Ботнет брутфорсит POS-системы

11.07.2014 | 09:15 Экономика

Новая вредоносная программа сканирует интернет в поиске систем PoS и пытается получить к ним доступ, используя распространённые имена пользователей и пароли

Тысячи взломанных компьютеров активно пытаются проникнуть в POS-системы, используя метод грубой силы — путём подбора учетных данных удалённого администрирования.

Компьютеры являются частью ботнета, который исследователи из компании безопасности FireEye назвали BrutPOS. Ботнет находится в активном состоянии, по крайней мере, с февраля. Он сканирует заданные диапазоны IP-адресов для систем, которые принимают соединения по RDP-протоколу удаленного рабочего стола (порт 3389).

Когда идентифицируется сервис RDP, вредоносная программа BrutPOS пытается войти в систему с помощью имен пользователей и паролей из заранее определенного списка.

«Некоторые из имен пользователей и паролей показывают, что атакующие искали конкретные марки POS-систем, такие как Micros», заявили исследователи FireEye в среду в своем блоге.

Micros Systems основана в Колумбии, штат Мэриленд, и предлагает программные приложения, услуги и аппаратные системы, включая PoS-терминалы для гостиничного бизнеса и розничной торговли.

Если вредоносная программа BrutPOS успешно угадывает учетные данные системы  с поддержкой RDP-доступа, она посылает информацию обратно на командно-контрольный сервер. Затем злоумышленники используют эту информацию, чтобы определить, является ли система PoS-терминалом, и, если это так, устанавливает вредоносную программу, разработанную для извлечения данных платежных карт из памяти приложений, работающих на нём.

Этот вид программы мониторинга памяти известен как RAM scraper (англ. to scrape — «соскребать») и всё чаще использовался в нападениях на POS-системы в течении прошедшего года. Взлом Target в прошлом году, который привел к краже данных 40 млн. платежных карт, произошёл в результате  заражения платёжных терминалов ритейлера вредоносной программой типа RAM scraper.

Сотрудники компании по исследованию киберугроз IntelCrawler также следили за вредоносными программами BrutPOS, которые, по их мнению, появились в мае, как проект под названием @-Brt. По их словам, целью злоумышленников являются не только RDP, но другие протоколы удаленного администрирования, такие как VNC и PCAnywhere.

FireEye выявила в общей сложности пять командно-контрольных сервера BrutPOS, два из которых всё ещё находятся онлайн. Эти два оставшихся сервера находятся в России и были созданы в конце мая и начале июня.

Данные, собранные с этих серверов предполагают, что ботнет состоит из 5622 зараженных компьютеров в 119 странах мира. Исследователи определили 60 систем с поддержкой RDP.  Это вероятные платежные терминалы, которые были скомпрометированы, а 51 из них базируются в Соединенных Штатах.

«Наиболее распространенным именем пользователя было «administrator» (36), а наиболее распространенными паролями были «POS» (12) и «Password1» (12), говорят исследователи из  FireEye.

По данным IntelCrawler, другими часто используемыми паролями удаленного доступа на взломанных системах были: aloha12345, Micros, pos12345, posadmin и JavaPOS.

«Несмотря на то, что нет достаточной информации, чтобы определить авторство, существует некоторая информация, которая указывает, что нападавшие находятся в Восточной Европе, вероятно, в России или Украине», говорят исследователи из FireEye.

В последние годы POS-системы стали важным объектом для киберпреступников. Компания безопасности Trustwave недавно сообщила, что более чем треть взломов данных, которые они расследовали в прошлом году, включает вторжения в платежные терминалы. Слабые пароли, особенно для VPN, SSH и RDP-подключений остаются одной из ведущих причин взломов, говорится в сообщении компании.

Взлом методом грубой силы соединения удаленного доступа и кража учетных данных были основными векторами для PoS-вторжений в 2013 году, заявила Verizon в своем апрельском докладе о расследовании взломов данных.