La brèche à Cible Corp. selon des sources proches de l’enquête, cette attaque d’hameçonnage par e-mail contenant des logiciels malveillants a été envoyée aux employés d’une entreprise de CVC qui a fait affaire avec le détaillant national.
La semaine dernière, BreachTrace a rapporté que les enquêteurs pensaient que la source de l’intrusion de Target remonte aux informations d’identification du réseau que Target avait délivrées à Fazio Mécaniqueune entreprise de chauffage, de climatisation et de réfrigération à Sharpsburg, Pennsylvanie. Plusieurs sources proches de l’enquête disent maintenant à ce journaliste que ces informations d’identification ont été volées lors d’une attaque de logiciel malveillant par e-mail à Fazio qui a commencé au moins deux mois avant que les voleurs ne commencent à voler les données de carte de milliers de personnes. des caisses enregistreuses Target.
Deux de ces sources ont déclaré que le logiciel malveillant en question était Citadel, un programme de bot voleur de mots de passe dérivé du Zeus cheval de Troie bancaire — mais cette information n’a pas pu être confirmée. Par l’intermédiaire d’une société de relations publiques, Fazio a refusé de répondre aux questions directes pour cette histoire, et Target a refusé de commenter, citant une enquête active.
Dans une déclaration (PDF) publié la semaine dernière, Fazio a déclaré qu’il était « victime d’une opération de cyberattaque sophistiquée », et en outre que « notre système informatique et nos mesures de sécurité sont en pleine conformité avec les pratiques de l’industrie ».
Il ne fait aucun doute que, comme Target, Fazio Mechanical a été victime de cybercriminalité. Mais les enquêteurs proches de l’affaire ont contesté l’affirmation de Fazio selon laquelle il était en totale conformité avec les pratiques de l’industrie, et ont proposé une autre explication de la raison pour laquelle il a fallu si longtemps à Fazio pour détecter l’infection par le logiciel malveillant par e-mail : la principale méthode de détection des logiciels malveillants sur son systèmes internes était la version gratuite de Malwarebytes Anti-Malware.
Pour être clair, Malwarebytes Anti-Malware (MBAM) gratuit est assez bon dans ce pour quoi il est conçu : rechercher et éliminer les menaces des machines hôtes. Cependant, une organisation qui se fie uniquement à la version gratuite de MBAM pour sa protection contre les programmes malveillants pose deux problèmes : premièrement, la version gratuite est un analyseur à la demande qui n’offre pas de protection en temps réel contre les menaces (le Version Pro du MBAM Est-ce que inclure un composant de protection en temps réel). Deuxièmement, la version gratuite est fait explicitement pour les utilisateurs individuels et sa licence interdit l’utilisation en entreprise.
La déclaration de Fazio a également précisé que sa connexion de données à Target était exclusivement destinée à la facturation électronique, à la soumission de contrats et à la gestion de projets. La société n’a pas précisé à quel(s) composant(s) des opérations en ligne de Target auxquelles Fazio a accédé de l’extérieur, mais un ancien employé de Target a déclaré que presque tous les sous-traitants de Target avaient accès à un système de facturation externe appelé Aribaainsi qu’un portail de gestion de projets et de soumissions de contrats Target appelé Partenaires en ligne. La source a déclaré que Fazio aurait également eu accès à Target Portail de la zone de développement immobilier.
Selon un ancien membre de l’équipe de sécurité de Target qui a demandé à ne pas être identifié, lorsqu’un bon de travail pour un fournisseur externe est créé, le paiement est collecté via le système Ariba : les fournisseurs se connectent à Ariba, effectuent les étapes nécessaires pour clôturer le travail commande et ils sont ensuite payés. Mais comment les attaquants seraient-ils passés du système de facturation externe de Target à une partie interne du réseau occupée par des appareils de point de vente ? L’ancien expert du réseau Target a une théorie :
« Je sais que le système Ariba dispose d’un back-end que les administrateurs de Target utilisent pour maintenir le système et fournir aux fournisseurs des identifiants de connexion, [and] Je devrais supposer qu’une fois qu’un fournisseur se connecte au portail, il a un accès actif au serveur qui exécute l’application », a déclaré la source. « La plupart, sinon la quasi-totalité, des applications internes de Target utilisaient Informations d’identification Active Directory (AD) et je suis sûr que le système Ariba n’a pas fait exception. Je ne dirais pas que le fournisseur avait des informations d’identification AD, mais que les administrateurs internes utiliseraient leur connexion AD pour accéder au système de l’intérieur. Cela signifierait que le serveur avait accès au reste du réseau d’entreprise sous une forme ou une autre.
L’histoire de la semaine dernière sur le rôle de Fazio dans l’attaque contre Target mentionnait que Target pourrait être passible de lourdes amendes s’il était découvert que la société n’était pas conforme aux normes de sécurité de l’industrie des cartes de paiement (PCI). Parmi celles-ci figure l’exigence que les commerçants intègrent une authentification à deux facteurs pour l’accès au réseau à distance provenant de l’extérieur du réseau par le personnel et tous les tiers.
Une autre source qui a géré les fournisseurs de Target pendant un certain nombre d’années jusqu’à tout récemment a déclaré que ce n’est que « dans de rares cas » que Target aurait exigé qu’un fournisseur utilise un jeton à usage unique ou une autre approche d’authentification à deux facteurs.
« Seuls les fournisseurs du groupe de sécurité le plus élevé – ceux qui doivent accéder directement aux informations confidentielles – recevraient un jeton et des instructions sur la façon d’accéder à cette partie du réseau », a déclaré la source, s’exprimant sous couvert d’anonymat. « Target aurait prêté très peu d’attention à des fournisseurs comme Fazio, et je serais surpris qu’il y ait jamais eu une évaluation de sécurité de base de ces types de fournisseurs par Target. »
Mais selon Aviva Litananalyste fraude chez GartnerTarget n’aurait pas eu besoin d’exiger des fournisseurs qu’ils utilisent des connexions à deux facteurs si l’entreprise pensait avoir pris des mesures pour isoler les portails des fournisseurs de son réseau de paiement.
« En toute justice pour Target, s’ils pensaient que leur réseau était correctement segmenté, ils n’auraient pas eu besoin d’avoir un accès à deux facteurs pour tout le monde », a déclaré Litan. « Mais si quelqu’un est entré et a augmenté d’une manière ou d’une autre ses privilèges Active Directory comme vous l’avez décrit, cela aurait pu [bridged] cette segmentation.
RENSEIGNEMENTS À SOURCE OUVERTE
De nombreux lecteurs se sont demandé pourquoi les attaquants auraient choisi une entreprise de CVC comme intermédiaire pour pirater Target. La réponse est qu’ils ne l’ont probablement pas fait, du moins au début. Bon nombre de ces attaques de logiciels malveillants par e-mail commencent par des attaques de fusil de chasse qui font exploser les e-mails à grande échelle ; ce n’est qu’après que les assaillants ont eu le temps de parcourir la liste des victimes à la recherche de cibles intéressantes qu’ils commencent à séparer le bon grain de l’ivraie.
Mais Target a peut-être, par inadvertance, facilité la tâche des attaquants dans ce cas, en partie en laissant d’énormes quantités de documentation interne aux fournisseurs sur ses diverses propriétés Web accessibles au public qui ne nécessitent pas de connexion. En effet, bon nombre de ces documents seraient une mine d’or potentielle d’informations pour un attaquant.
Voici un exemple qui se trouve être quelque peu spécifique aux fournisseurs de CVC : une simple recherche Google apparaît Portail des fournisseurs de Targetqui comprend une mine d’informations pour les vendeurs et fournisseurs nouveaux et existants sur la façon d’interagir avec l’entreprise, de soumettre des factures, etc. Cette page mène à une page distincte d’informations sur Gestion des installations cibles, qui comprend une multitude d’instructions sur la soumission des ordres de travail. Cette page comprend également un lien vers un autre ensemble de ressources : un Page de téléchargement des fournisseurs cela, curieusement, n’est guère plus qu’une longue liste de ressources pour les entreprises de CVC et de réfrigération.
Que pourrait apprendre un attaquant à partir de ces informations ? Pour commencer, téléchargez l’un des Fichiers Microsoft Excel listé sur cette page. Scannez ensuite le fichier avec un service en ligne gratuit (comme celui-ci) qui extrait métadonnées à partir des fichiers soumis. La numérisation du fichier « FM_HVAC_Oct_2011_Summary.xlsx » à partir de la page de téléchargement des fournisseurs, par exemple, nous indique que le fichier a été créé en juin 2011 avec une copie de Microsoft Office 2007 sous licence à Target Corp. Ces métadonnées indiquent également que le fichier a été créé ou modifié pour la dernière fois par une personne avec le nom d’utilisateur Windows « Daleso.Yadetta » et qu’il a été imprimé le plus récemment sur un système sur le réseau de Target dans le domaine Windows suivant : » \TCMPSPRINT04P «
Obtenir la disposition des différents domaines Windows au sein du réseau interne de Target aiderait certainement les attaquants à concentrer leur attention. Par exemple, considérons ce que nous savons d’un élément clé du logiciel malveillant connu pour avoir été utilisé dans l’intrusion de Target, mentionné pour la première fois dans un article du 15 janvier 2014. Les enquêteurs qui ont examiné le logiciel malveillant ont rapidement remarqué qu’il était conçu pour déplacer des données. volé des caisses enregistreuses de Target (alors infectées par des logiciels malveillants) vers un point de collecte central sur le réseau de Target, un domaine Windows appelé « \TTCOPSCLI3ACS ».
Les enquêteurs pensent que « ttcopscli3acs » était le nom du domaine Windows utilisé par le logiciel malveillant POS implanté dans les magasins Target.
Une petite recherche sur Google montre que Target exploite deux centres de données, tous deux situés dans le Minnesota : Centre de technologie cible – ou « TTC » en abrégé – est situé à Brooklyn Park, Minnesota, sur l’un des campus d’entreprise de l’entreprise. La société exploite également un centre de données redondant — Centre de technologie cible Elk River (TTCE) à Elk River, Minnesota en tant que remplaçant. Il y a fort à parier que le serveur référencé dans le logiciel malveillant utilisé dans la violation de Target résidait dans les installations de Brooklyn Park de l’entreprise.