شناسایی بدافزاری که سامانه های فروشگاهی را آلوده می کند

شرکت امنیتی iSight Partners که با ارگانهای امنیتی آمریکا درخصوص سرقت بزرگ از شرکت Target همکاری می کند، اعلام کرد که موفق به شناسایی بدافزار مورد استفاده در حملات اخیر به سامانه های فروشگاهی (PoS) این شرکت شده است.

در گزارش iSight Partners، اسب تروای Trojan.POSRAM به عنوان ابزاری مخرب برای شناسایی، ذخیره سازی، انتقال شماره کارت و شماره شناسایی شخصی (PIN) از طریق دستگاه های کارتخوان که به سامانه های فروشگاهی متصل هستند، معرفی شده است. بدافزار POSRAM حدود 207 کیلوبایت حجم دارد. این بدافزار را می توان به قیمت نسبتاً نازلی در بازارهای سیاه و سایت های زیرزمینی خریداری کرد. نسخه ساده آن، جدود 1800 دلار و نسخه کامل تر و مجهزتر بدافزار، حدود 2300 دلار به فروش می رسد.

شرکت iSight Partners هشدار داد، این اسب تروا در حملات سایبری مشابه علیه سامانه های فروش چندین فروشگاه مختلف مورد استفاده قرار گرفته است. به گزارش این شرکت، برخی شرکتها و فروشگاه هایی که مورد هدف قرار گرفته اند، ممکن است هنوز از این موضوع آگاه نشده باشند.

برخی کارشناسان بر این باورند که POSRAM نسخه ای سفارشی از بدافزاری به نام BlackPOS است که در سال 2013 در روسیه ساخته شده بود. همانند BlackPoS، بدافزار POSRAM داده های نوار مغناطیسی کارت های بانکی را در زمان کشیده شدن در دستگاه کارت خوان ضبط و بطور موقت در حافظه سامانه فروشگاهی ذخیره می کند. پس از آلوده کردن سامانه فروشگاهی، بدافزار، حافظه را برای یافتن اطلاعاتی خاص بررسی می کند. به محض یافتن اطلاعات، داده ها را بر روی یک فایل ذخیره و در زمانی از پیش تعیین شده آنرا به نفوذگران ارسال می کند. بدافزار پس از ارسال فایل، آنرا از روی حافظه حذف می کند تا ردی از خود بجا نگذارد.

به عقیده این کارشناسان حداقل 75 درصد از کدهای بدافزار POSRAM مشابه BlackPOS است. یکی از تفاوتهای اصلی POSRAM با BlackPOS روش آنها برای فرار از سد ابزارهای ضدبدافزار است. در زمان کشف POSRAM، هیچ یک از ضدویروس ها قادر به شناسایی آن نبودند. به گزارش iSight Partners، این بدافزار از روشی نوین بهره می برد که به آن امکان می دهد از سد کنترل های شبکه ای فرار کرده و خود را در مقابل شیوه های رایج بررسی جرایم کامپیوتری مخفی سازد.

به دلیل اینکه هنوز تحقیقات ادامه دارد، در گزارش شرکت iSight Partners، به نحوه انتشار بدافزار بر روی سامانه های فروشگاهی اشاره ای نشده است. این شرکت از فروشگاه هایی که مشکوک به آلوده بودن سامانه های فروش خود هستند، خواسته است که با مقامات امنیتی و پلیس تماس بگیرند. مورد حمله قرار گرفتن حداقل سه فروشگاه دیگر به تایید رسیده است. Neiman Marcus یکی از این فروشگاه ها است. نام دو فروشنده دیگر اعلام نشده است.

چندی پیش شرکت Target اعلام کرد که مشخصات چندین میلیون کارت اعتباری و اطلاعات شخصی مشتریان، نظیر نشانی ایمیل و شماره های تماس آنها، سرقت شده است.

مدیر عامل این شرکت، در مصاحبه با CNBC تایید کرد که سرقت اطلاعات از طریق ضعف امنیتی در سامانه های فروشگاهی انجام شده است. همچنین وبلاگ نویسی که بار اول خبر این رویداد را منتشر کرد، جزییات بیشتری از نفوذ را در وبلاگ خود منتشر کرده است. به گفته وی، نفوذگران پس از حمله به سرور وب شرکت Target توانسته بودند بدافزار را به سامانه های فروشگاهی ارسال کنند. این نفوذگران در ادامه یک سرور فرماندهی و کنترل در شبکه داخلی Target راه اندازی کرده بودند که اطلاعات سرقت شده را بر روی آن ذخیره و سپس از روی آن به بیرون ارسال می کردند. سارقان قادر بوده اند در هر زمان از راه دور به سرور فرماندهی و کنترل متصل شوند.