Cette semaine, la chaîne nationale de produits de beauté Sally Beauty a révélé que, pour la deuxième fois en un an, elle enquêtait sur des informations selon lesquelles des pirates auraient pénétré dans ses réseaux et volé des données de carte de crédit de clients. Cette enquête est en cours, mais j’ai récemment eu l’occasion d’interviewer un ancien technicien informatique de Sally Beauty qui a fourni un aperçu de première main de la façon dont la première brèche en 2014 s’est déroulée.
Le 14 mars 2014, BreachTrace a annoncé que quelque 260 000 cartes de crédit volées dans les magasins Sally Beauty avaient été mises en vente sur Réscateur[dot]cc, le même magasin qui a lancé pour la première fois les cartes volées dans les brèches Home Depot et Target. La société a déclaré que les voleurs se sont enfuis avec seulement 25 000 cartes client. Mais le magasin vendant les cartes répertoriées chacune par le code postal du magasin Sally Beauty dans lequel les données de la carte avaient été volées, exactement comme ce même magasin l’a fait avec Home Depot et Target. Une analyse exhaustive des codes postaux représentés dans les cartes en vente sur le magasin de fraude a indiqué que les pirates avaient touché pratiquement tous les 2 600 sites Sally Beauty à l’échelle nationale.
La société n’a jamais divulgué de détails supplémentaires sur la violation elle-même ou sur la manière dont elle s’est produite. Mais plus tôt cette semaine, j’ai parlé avec Blake Curlovicjusque récemment un analyste support applicatif à Sally Beauty qui a été parmi les premiers à réagir lorsque les sonnettes d’alarme virtuelles ont commencé l’année dernière à propos d’une éventuelle intrusion. Curlovic a déclaré qu’à l’époque, Sally Beauty utilisait exactement une solution d’entreprise pour la sécurité – Tripwire (divulgation complète : Tripwire est un annonceur sur ce blog). Le produit principal de Tripwire surveille les principaux fichiers du système d’exploitation et d’application pour tout changement, ce qui déclenche ensuite des alertes.
Tripwire a lancé un avertissement lorsque les intrus ont planté un nouveau fichier sur les systèmes de point de vente au sein du vaste réseau de caisses enregistreuses de Sally Beauty. Le fichier était un programme conçu pour voler les numéros de carte lorsqu’ils étaient glissés dans les registres, et les attaquants avaient nommé leur logiciel malveillant d’après un programme légitime exécuté sur tous les registres de Sally Beauty. Ils ont également utilisé un utilitaire appelé Horodatage changer la date et l’heure de leur malware pour qu’elles correspondent au fichier légitime, mais cela n’a apparemment pas trompé Tripwire.
Selon Curlovic, les intrus ont eu accès par un Portail d’accès à distance Citrix mis en place pour être utilisé par les employés qui avaient besoin d’accéder aux systèmes de l’entreprise lorsqu’ils étaient sur la route.
« Les attaquants avaient en quelque sorte les identifiants de connexion d’un directeur de district », a déclaré Curlovic. «Ce type n’était pas exactement averti en matière de sécurité. Lorsque nous avons récupéré son ordinateur portable, nous avons vu qu’il avait son nom d’utilisateur et son mot de passe collés à l’avant.
Une fois à l’intérieur du réseau d’entreprise de Sally Beauty, les attaquants ont scanné et cartographié l’ensemble, localisé tous les lecteurs partagés et parcouru ceux-ci à la recherche de scripts Visual Basic (VB). Les administrateurs réseau chargés de gérer des milliers ou des dizaines de milliers de systèmes écriront souvent des scripts VB pour automatiser certaines tâches sur tous ces systèmes, et très souvent ces scripts contiendront des noms d’utilisateur et des mots de passe qui peuvent être très utiles aux attaquants.
Curlovic a déclaré que les intrus avaient localisé un script VB sur le réseau de Sally Beauty qui contenait le nom d’utilisateur et le mot de passe d’un administrateur réseau de l’entreprise.
« Cela leur a permis de copier essentiellement des fichiers dans les caisses enregistreuses », a-t-il déclaré. « Ils ont utilisé une simple boucle de fichier batch, mis dans tous les [cash] enregistrer les adresses Internet qu’ils ont trouvées lors de la numérisation du réseau, en boucle et copiées [the malware] à tous les appareils de point de vente – environ 6 000 d’entre eux. Ils étaient dans le réseau depuis environ une semaine avant de planifier l’attaque.
CACHANT À LA VUE
Curlovic a dit le malware planté sur le réseau de Sally Beauty a été identifié (par certains fournisseurs de sécurité) comme une variante de FrameworkPOSun programme de vol de cartes qui exfiltre les données du réseau de la cible en les transmettant sous forme de trafic DNS (Domain Name System).
Le DNS est la technologie Internet fondamentale qui traduit les noms de domaine conviviaux comme example.com en adresses Internet numériques plus faciles à comprendre pour les ordinateurs. Tous les réseaux s’appuient sur le DNS pour aider les utilisateurs directs lorsqu’ils surfent en ligne, mais peu d’organisations conservent des journaux ou des enregistrements détaillés du trafic DNS traversant leurs réseaux, ce qui en fait un moyen idéal pour siphonner les données d’un réseau piraté.
Selon une écriture de FrameworkPOS par Données G, une société de sécurité basée en Allemagne, le logiciel malveillant voleur de cartes permet aux attaquants de configurer dynamiquement le nom de domaine auquel le trafic DNS transportant les données de la carte volée atteindra. En plus de cela, le logiciel malveillant obscurcit les données de la carte avec un chiffre simple afin qu’elles ne soient pas immédiatement évidentes en tant que données de carte pour quiconque examine le trafic DNS.
Mais Curlovic a déclaré que malgré ses méthodes intelligentes de vol de données, d’autres parties du logiciel malveillant avaient été maladroitement écrites. En fait, a-t-il dit, un composant du logiciel malveillant a en fait brisé le Service de connexion réseau sur les systèmes de points de vente infectés, limitant la capacité des caisses enregistreuses Sally Beauty à communiquer avec le reste du réseau interne de l’entreprise. Net Logon est un composant Microsoft Windows qui vérifie la connexion réseau sur les demandes.
« Je ne sais pas techniquement ce qui n’allait pas avec leur logiciel, mais Net Logon ne démarrait plus après son installation », a déclaré Curlovic. « Nous ne pouvions pas nous connecter à distance avec des informations d’identification de domaine et les registres ne pouvaient plus communiquer efficacement via DNS par la suite. C’était un indicateur assez important que quelque chose n’allait vraiment pas à ce moment-là.
Quant à l’affirmation permanente de Sally Beauty selon laquelle seulement 25 000 cartes client ont été prises, Curlovic a déclaré qu’il serait surpris si elle était limitée aux 260 000 initialement signalés par ce blog.
« D’après ce que j’ai vu dans les informations dont disposaient les services secrets, 260 000 étaient probablement au bas de l’échelle », a-t-il déclaré. « Pendant la période où le logiciel était sur les registres et en cours d’exécution, il aurait dû être plus proche d’environ un million, sur la base du nombre de transactions de crédit que Sally Beauty avait quotidiennement. Mais comme le logiciel malveillant ne fonctionnait vraiment pas très bien, il ne capturait qu’une partie des cartes qui passaient à cause du problème de formatage qui a interrompu le service Net Logon.
MESSAGES ANTI-AMÉRICAINS
Curlovic a déclaré que le logiciel malveillant utilisé lors de la violation de Sally Beauty en 2014 communiquait les données de la carte volée à plusieurs domaines hébergés en Ukraine, et que ces domaines portaient principalement des noms qui semblaient être conçus comme des coups verbaux aux États-Unis.
L’une des images liées aux entrailles des logiciels malveillants utilisés dans la violation de Home Depot.
Curlovic a déclaré qu’il ne se souvenait pas exactement de la nature des domaines, car il n’avait plus accès à ses notes au travail, mais que l’un des domaines était quelque chose de proche de « vx.anti-usa-proxy-war ».[dot]com.” Curlovic a déclaré qu’il n’avait plus accès à ses notes car il avait été licencié de Sally Beauty il y a environ trois semaines pour des raisons que son ancien employeur avait refusé de partager. Il a déclaré avoir découvert par l’intermédiaire d’une personne du bureau de chômage local de Denton, au Texas, que quelqu’un dans l’entreprise l’avait accusé d’avoir accédé à l’ordinateur d’un autre employé sans autorisation. « C’est une accusation assez étrange à porter, puisque les administrateurs réseau là-bas ont tous accès au système de tout le monde sur le réseau. »
Quoi qu’il en soit, les domaines anti-américains référencés par le logiciel malveillant de vol de cartes renforcent un soupçon de longue date chez cet auteur et d’autres chercheurs : que la violation de Sally Beauty ait été menée par le même gang du crime organisé russe et ukrainien qui a volé plus de 100 millions de cartes de crédit et de débit de Home Depot et de Target.
Comme je l’ai noté dans un article du 7 septembre 2014, le logiciel malveillant utilisé dans la violation de Home Depot comprenait plusieurs chaînes de texte intéressantes qui réprimandaient les États-Unis pour leur rôle dans les conflits étrangers, en particulier en Libye et en Ukraine.
« Trois des liens pointent vers des informations, des articles éditoriaux et des caricatures qui accusent les États-Unis de fomenter la guerre et les troubles au nom de la démocratie en Ukraine, en Syrie, en Égypte et en Libye. L’une des images montre quatre cocktails Molotov avec les drapeaux de ces quatre nations sur les bouteilles, à côté d’une boîte d’allumettes ornée du drapeau américain et d’une allumette prête à frapper. Un autre lien mène à une image du conflit armé actuel en Ukraine entre les forces ukrainiennes et les séparatistes pro-russes.
« C’est intéressant compte tenu de ce que nous savons de Rescator, la personne principalement responsable de la gestion du magasin qui vend toutes ces cartes de crédit et de débit volées. À la suite de la violation de Target, j’ai retracé une longue liste d’indices des différentes identités en ligne de Rescator jusqu’à un jeune programmeur d’Odessa, en Ukraine. Dans ses nombreuses personnalités, Rescator s’est identifié comme un membre de le forum sur la cybercriminalité de Lampeduzaet c’est en effet sur ce site qu’il alerte les clients sur les nouveaux lots de cartes volées.
« Comme je l’ai découvert dans mon profil de Rescator, lui et son équipage semblaient quelque peu fascinés par le défunt dirigeant libyen despotique. Mouammar Kadhafi, bien qu’ils préfèrent l’orthographe phonétique de son nom. Le site Internet kadhafi[dot]hk faisait partie des quatre principaux magasins de cardage gérés par l’équipage de Rescator (il a depuis été retiré et fusionné avec Rescator[dot]cc). Le domaine kadhafi[dot]me a été configuré pour servir de serveur de messagerie instantanée Jabber pour les cyber-escrocs, annonçant son manque de journalisation et de tenue de registres comme une raison pour laquelle les escrocs devraient faire confiance à kadhafi[dot]à moi de gérer leurs communications privées en ligne.
« Lorsque j’ai contacté Rescator en décembre dernier pour obtenir des commentaires sur mes conclusions sur son rôle apparent dans l’effraction de Target, j’ai reçu une réponse par message instantané de l’adresse Jabber » [email protected][dot]moi » (dans cette conversation, la personne qui discutait avec moi depuis cette adresse m’a proposé de me payer 10 000 $ si je ne publiais pas cette histoire ; j’ai refusé). Mais j’ai aussi découvert que Kadhafi[dot]me domain était une sorte de blog qui hébergeait une propagande anti-américaine dure et franchement effrayante.
Curlovic a déclaré que l’équipe de réponse aux incidents qui a nettoyé la brèche de 2014 chez Sally Beauty a trouvé un autre indice curieux dans le logiciel malveillant que les attaquants ont installé sur les appareils de point de vente. Ils ont découvert que les intrus avaient créé deux versions du logiciel malveillant voleur de cartes, l’une conçue pour être utilisée sur les systèmes Windows 32 bits et l’autre créée pour être utilisée sur les versions 64 bits de Windows. Les auteurs du malware avaient pris le temps d’ajouter une icône à la version 32 bits du programme qui pouvait être vue si quelqu’un ouvrait le répertoire où le malware était placé : L’icône n’était guère plus qu’un fond noir avec « Res » écrit en lettres blanches.
Ce type de signature a également été observé dans le logiciel malveillant utilisé dans l’intrusion Target, qui contenait la chaîne de texte suivante : « »z:ProjectsRéscateuruploaderDebugscheck.pdb ».