Мэтт: Последняя проверка показала ужасное. Хакеры не просто украли миллионы данных кредитных карт. Около семи-восьми месяцев хакеры были в системе магазина...

КОРТНИ: Они провели в сети, по крайней мере, целый месяц разведки, прежде чем создали свое идеальное вредоносное ПО. Затем даже на протяжении всего времени мы видели, как они вносили в него небольшие изменения, продолжая двигаться вперед. Они точно знали, где взять кредитные карты в каждой системе.

Мэтт: К сожалению, система, которую они впервые скомпрометировали, в которую они впервые вошли, больше недоступна. Здесь мне хочется думать, что это, вероятно, был целенаправленный подход, даже фишинг, но кто знает. Никогда не узнаешь, пока не найдешь.

ДЖЕК: Фишинг — это когда хакер нацеливается на сотрудника, чтобы попытаться заставить его щелкнуть что-то, на что он не должен нажимать. Это может быть электронное письмо с вредоносной ссылкой, это может быть документ Word с включенными макросами. Как только человек нажимает на вредоносную ссылку, этот компьютер может быть заражен и затем находиться под контролем хакера. Когда хакер находится в сети, он может перейти на другую машину, чтобы начать установку своего вредоносного ПО.

Мэтт: С помощью простой математики вы обчищаете шестьсот магазинов за восемь месяцев. Этот период времени включает в себя лето, несколько выходных с распродажами, подготовку к Рождеству и тому подобное. Включая все эти различные периоды времени.

КОРТНИ: Да, я хочу сказать, что нам потребовалось по крайней мере две недели, чтобы просмотреть все кредитные карты и по-настоящему их расшифровать и убедиться, что все, что у нас было, было настоящими номерами карт. Что-то особенное в этом случае, с которым мы столкнулись, это кредитные карты, которые выглядят как номера кредитных карт, но на самом деле не являются действительными номерами карт. Это было то, что нам пришлось сделать много дедупликации и проверки, как с нашей стороны, так и с небольшой помощью брендов карт, чтобы определить, действительно ли то, что мы видели, было номерами карт.

Мэтт: Мы начали обнаруживать просроченные данные карт. Как мы находим так много данных кредитных карт, срок действия которых истек? Одно дело, если вы обнаружите, скажем, у вас есть двадцать номеров за день, и вы обнаружите, что срок действия одного истек. Ты такой: «О, ладно, кто-то случайно стащил старую карту или что-то в этом роде, верно?» Но потом вы начинаете задаваться вопросом, почему я вижу этот значительный процент карт, срок действия которых уже истек? В данном случае, если вы помните, я упомянул, что вредоносное ПО было на задней панели домашних систем.

В задней части работали SQL-серверы. На SQL-серверах хранились исторические незашифрованные отслеживаемые данные, которые загружались в память, и вредоносное ПО собирало их. Они собирали транзакции четырехлетней давности. Злоумышленники фактически заглянули в прошлое. Они просматривали транзакции трех-четырехлетней давности, о которых у них не было информации.

Ведущий: Теперь команда готова приступить к удалению вредоносного ПО из сети. Им нужно было понять каждую дыру в сети и залатать каждую, чтобы хакеры не могли вернуться.

КОРТНИ: На самом деле нам не нужно было отключать какие-либо серверы. Как только мы смогли действительно найти эти опорные точки, отключив их или, по крайней мере, убедившись, что у нас есть блокировка процессов, мы смогли остановить их по большей части в сети.

МЭТТ: Да, в итоге мы закрыли расчетные палаты, центральные точки, которые они использовали. В первый раз, когда мы выгнали их, мы действительно увидели, как они снова вошли через Азию, и в течение примерно трех секунд после повторного входа они повторно скомпрометировали сорок различных систем.

КОРТНИ: Я думаю, было интересно наблюдать, как они возвращаются так быстро, но также было интересно посмотреть, какие инструменты они сразу использовали. Потому что в тот момент у нас был живой отклик. По сути, мы могли сидеть там и отслеживать, что они делали, и точно видеть, как они двигались.

Ведущий: Команда обнаружила, что помимо вредоносного ПО, во многих системах также были установлены лазейки, благодаря которым хакеры продолжали проникать внутрь. Команда смогла отключить каждую опорную точку и предотвратить выход кредитных карт из сети. Было приятно наконец взять эту вредоносную программу под контроль. Пока они очищали сеть от вредоносного ПО, они также дали компании несколько предложений по улучшению своей безопасности.

КОРТНИ: Да, некоторые изменения пароля были необходимы, может быть, что-то вроде изменения их сетевой инфраструктуры, чтобы она не была такой плоской. Это определенно было одной из вещей, которые позволили этому вредоносному ПО проникнуть так далеко, потому что каждая система могла получить доступ к любой другой системе. Были одинаковые общие пароли, учетные записи администраторов, привилегированные учетные записи, которые были доступны на многих, многих машинах в сети. Я думаю, что это был большой урок того, как правильно защитить вашу сеть и убедиться, что ваше шифрование на месте, чтобы предотвратить это снова.

Ведущий: Попытаться проследить этот взлом до ответственного за это человека иногда невозможно. Вы можете искать подсказки во вредоносном ПО, такие как язык, который использовался при его написании, или часовой пояс, на который оно установлено, но это всего лишь небольшие подсказки, которые не очень сильны. Попытка выяснить, кто совершил взлом, называется атрибуцией.

МЭТТ: Я твердо верю, что атрибуция на самом деле ни к чему не приведет, если только вы не занимаете политическую или руководящую должность и не должны принимать решения о том, кто может стоять за этой клавиатурой и тому подобные вещи. Однако всегда интересно узнать. Единственное, что я могу сказать об этом, это то, что мы еще не упомянули. В Северной Америке был один сервер, который рассматривался как расчетная палата. Затем были две дополнительные системы с задним ходом. В Европе было примерно то же самое.

Большая часть самих точек входа фактически началась в Азии. На самом деле это началось в основном в Юго-Восточной Азии и тому подобное. Это не дает никакой атрибуции. Просто когда вы пытаетесь получить данные кредитной карты, это очень интересное место для начала, если вы понимаете, о чем я. Вы — компания со штаб-квартирой в США. Какой у вас есть выход? Вы должны восстановить свою сеть. Вы должны достичь точки, когда вам не нужно бороться с пожарами каждый день. У тебя действительно нет времени. Что, ты собираешься нанять команду, чтобы преследовать этих парней или что-то в этом роде? Удачи.

Ведущий: Сколько было окончательно украдено кредитных карт?

Мэтт: Это число, насколько мне известно, все еще выясняется, но я думаю, что после того, как мы наткнулись на все, что мы могли найти, мы получили не меньше 100 000. Это все. Это было очень неожиданное число.

Ведущий: Я мало что знаю о текущих условиях черного рынка карточных игр, но можно с уверенностью сказать, что этих карт, вероятно, слишком много для этих хакеров, чтобы попытаться выцарапать из себя деньги. Возможно, они где-то продают эти карты оптом. Карты стоят от десяти до ста долларов каждая, поэтому, даже если они получили по десять долларов за карту, это означает, что эти хакеры заработали на этой компании миллион долларов. Теперь компания должна сделать это снова, чтобы попытаться решить проблему.

Мэтт: В первую очередь на компанию ложится работа с банками, работа с компаниями, выпускающими кредитные карты, и выпуск новых карт.

Ведущий: Об этом взломе было объявлено публично, и он попал в новости, но реакция публики на него не имела большого значения.

Мэтт: Короче говоря, это было не так безумно, как вы могли бы подумать. Это было не так уж важно. Я говорю, что, поскольку у вас есть предшественники, такие как Home Depot и Target, и некоторые из этих огромных крупных нарушений, у вас есть такие предшественники, о которых сообщали недели, если не месяцы.

КОРТНИ: Некоторые из более крупных нарушений, которые мы недавно наблюдали, включая номера социального страхования, я думаю, что кредитные карты немного отстают. Вы всегда беспокоитесь, что его украдут, но в глубине души многие люди думают: «О, я просто заменю его, куплю новый».

Ведущий: Помимо того, что это является серьезной головной болью для этой компании и еще большей головной болью для компаний, выпускающих кредитные карты, и банков, это также может серьезно повлиять на людей, чьи карты были украдены. В начале этого эпизода вы начали получать известия от Тома. Возможно, данные карты Тома были украдены и проданы на черном рынке, как в истории, которую вы только что слышали. Кто-то использовал его карту мошенническим образом, и его банк проводил расследование, чтобы выяснить, что пошло не так. Давайте послушаем, чем закончится его история.

ТОМ: Ну, утро, когда они это сделали, было 12 или 13 декабря, так что это фактически уничтожило Рождество. Я лицензированный подрядчик, и я получаю часть своего бизнеса через компанию, и мои счета заморожены, и ничего не может войти или выйти, первое, что я обнаружил, это то, что они перестали работать на меня, и они сказали хорошо, ваш счет просрочен, и ваш счет перерасходован, и мы не можем получить деньги, поэтому вы остановлены, пока что-то не произойдет.

Но, к счастью, у меня была финансовая поддержка, поэтому я смог выжить, но не мог работать, пока об этом наконец не позаботились. Теперь я мог вести дела со счетом, но даже после этого мне понадобилось пару месяцев, чтобы все уладить. Это был большой перерыв в моей жизни.

Ведущий: Кортни и Мэтт выступили с докладом на саммите Kaspersky SAS в начале этого года. В своем выступлении они подробно рассказали об этом новом виде вредоносного ПО. Они также сообщили об этом антивирусным компаниям, чтобы его можно было обнаружить в будущем. С тех пор Мэтт ушел из Kroll и теперь работает в Cylance, а совсем недавно был принят в качестве инструктора SANS, преподающего цифровую криминалистику и реагирование на инциденты.