《商业周刊》:美零售业最大规模黑客事件真凶成迷
图为最新期《商业周刊》杂志封面导读:去年感恩节前三周美国零售巨头Target的系统被植入恶意软件,黑客攻击手段很平常,预警系统也多次发出预警,但Target疏于应对,最终导致1.1亿位顾客信用卡数据被盗的美国零售业最大黑客事件。《商业周刊》最新一期封面文章梳理了Target被黑的来龙去脉,时至今日真凶仍然逍遥法外。
这次黑客对美国零售业历史上的最大攻击特别没有独创性,而且本应以失败告终。2013年感恩节前夕,有人在零售巨头Target的安全系统和支付系统植入恶意软件,以窃取每一位顾客在全美1797家连锁店消费的信用卡信息。在收银员要求顾客刷卡买单的关键时刻,恶意软件抓取顾客的信用卡号码,将其存入黑客控制的一台Target服务器。
这些黑客采用的手段很平常,Target早就为这类攻击做了准备。半年前Target安装了电脑安全公司FireEye开发的一款价值160万美元的恶意软件检测工具——中央情报局和国防部也是FireEye的客户。在印度班加罗尔,Target有一个专家团对全天候监控公司的电脑,一旦发现可疑情形将向设在明尼阿波利斯的安全运营中心通报。
11月30日(星期六),黑客布置完毕,只需设好数据的逃出路径即可发动攻击。当黑客上传数据渗漏恶意软件转移被盗信用卡号码时被FireEye的检测软件发现,班加罗尔得到警报后上报明尼阿波利斯的安全小组。然后……他们什么也没做。
不知何故明尼阿波利斯没有理会警报。本刊采访了熟悉Target数据安全的该公司十位前员工、了解这次黑客攻击及其影响的八位专业人士。他们说保护零售商与客户联系的预警系统运行完美,但当4000万信用卡号码及7000万顾客住址、电话号码和其它个人信息从公司主机溢出时,Target却袖手旁观。
顾客和银行向Target提起90多起诉讼,指责其玩忽职守并要求赔偿损失。分析师估计损失达数十亿美元。Target上季度财报称截至2月1日为这次数据泄露已花费6100万美元。公司设立顾客反馈部门,承诺顾客不用为数据泄露导致的任何信用卡盗刷买单以恢复顾客信任。去年感恩节假期Target盈利同比下降46%,交易笔数降幅为2008年公布该数据以来最大。
Target在接受国会质询时表示,只是在12月中旬美国司法部告知其数据被盗后公司调查人员才回过头来分析当时发生了什么情况。它没有公布查看电脑日志时就发现了从11月30日到12月2日FireEye软件的多起报警,而12月2日黑客尚未安装恶意软件的新版本。不仅这些报警不应该置之不理,而且报警相当及时,当时黑客还未开始从Target的网络向外传输被窃信用卡数据。要是公司的安全团队做出相应反应,这起涉及1/3美国人的信用卡数据被盗事件就根本不会发生。
Target的反黑客部门主体位于明尼阿波利斯市中心一座大楼六层角落的房间,里面没有内开的窗户,只有上锁的大门。访客须按门铃经过视频扫描后才可进入。
如果你见过一个安全管理平台(SOC),你基本上就知道所有的SOC是什么样。分析师坐在一排排的屏幕前监控Target上亿美元的IT基础设施。政府机构、大银行、国防公司、技术公司、移动运营商等有着高价值集中大数据的公司常常建立自己的SOC。不过零售商往往没有。大多数零售商仍然专注于卖东西这一主要任务,部分原因在于它们广泛的店面网络和电子零售入口难以锁定入侵。威瑞森企业解决方案公司研究发现,只有31%的公司通过自己的监控系统发现入侵,而零售公司只有5%,它们就是数字大草原上任由宰割的羚羊。
Target努力使自己与众不同。目前公司的信息安全部门员工已超300,自2006年以来增长10倍。大半年前Target又引入FireEye保驾护航。FireEye最初由CIA建立,如今广为全世界的情报机构所用。
FireEye的产品通过在虚拟机上构建一个平行的电脑网络而发挥作用。数据从互联网传输到Target之前通过FireEye的系统,而黑客工具误以为自己处于真实的电脑网络中。FireEye的检测技术在攻击发生之前将其识破,然后向客户报警。与杀毒软件根据以往的攻击标注恶意软件不同,黑客利用新工具或自定义攻击不容易骗过FireEye。CIA前首席信息安全官对FireEye的方法大加赞赏:“几年前我们首次利用这种方法时还从未有人想到过。”
据熟悉Target调查情形的人士透露,黑客在11月30日部署自编代码,FireEye发出发现陌生恶意软件“malware.binary”的警告。随后黑客希望盗窃数据发往何处的服务器地址相关细节很快也被发现。随着黑客植入该恶意软件的更多版本,FireEye的安全软件也发出更多警报,每一次都是FireEye分级标准上的最紧急警报。
本来不用人力干预就可阻止这次数据被盗。FireEye的软件有一旦发现恶意软件就自动删除的选项,但两位调查人员称Target的安全人员关闭了该功能。使用FireEye产品一年多的庞巴迪航空公司首席信息安全官Edward Kiledjian称这样做并非不同寻常,因为安全人员通常希望拥有“我该怎么做”的最后决定权,但这要求安全团队迅速发现并处理感染电脑。
去年四月Target进行了一个月的FireEye产品测试,之后才在公司的大规模IT系统部署。两位熟悉Target安全运营的人士称,很可能黑客攻击时监控人员对FireEye的产品仍然有些怀疑。甚至Target的杀毒软件Symantec Endpoint Protection也在感恩节前后发现可疑行为,涉嫌服务器与FireEye预警的一致。McAfee部门总监称黑客所用恶意软件绝不复杂,如果Target狠抓网络安全环境,它本应发现自己网络上的黑客行为。
Target所犯的安全错误不止于此,发言人斯奈德(Molly Snyder)称黑客利用从第三方供应商偷来的证书进入了公司系统。最先披露Target被黑客攻击的网络安全博客写手Brian Krebs称该供应商是匹兹堡附近一家名为Fazio Mechanical Services的冰箱与采暖设备公司。Fazio在官网发布的声明称其IT系统与安全措施符合行业规范,与Target的数据连接完全是为了做账、合同提交和项目管理。Target的网络系统和其它任何标准的公司网络一样都做了分割,以便包括客户支付和个人数据在内的最敏感网络与其它网络尤其是互联网隔绝。显然Target的设防存在漏洞。调查Target被黑的网络安全公司之一Dell SecureWorks报告称,黑客的恶意软件命名为BladeLogic,目的可能是伪装成Target数据中心管理产品的一个组件。也就是说黑客把自己的恶意代码伪装成公司用于保护持卡人和支付数据的合法软件。
一旦他们的恶意软件在11月30日成功植入,那么黑客几乎有两周时间从容盗取信用卡数据。SecureWorks称恶意软件设定只在中部时间上午10点到下午6点向三个美国站点发送数据,其目的可能是确保传输数据淹没在上班时间汪洋大海般的数据流量中而难以察觉。被盗信用卡数据从美国发往莫斯科。以色列网络安全公司Seculert能够分析其中一个美国站点的黑客活动,它发现该站点最终把存储的11G数据发到位于莫斯科的vpsville.ru主机服务站点。vpsville.ru发言人表示,公司客户众多无法有效监控其行为。直到今年2月美国调查人员才开始联系vpsville.ru。
如果Target的安全部门跟踪FireEye最早发出的警报,它本可以在黑客逃跑时上将其抓个正着。网络安全公司AlienVault Labs研究员Jaime Blasco表示,恶意软件中有嵌入代码中的黑客站点服务器登录名和密码。Target自己本来可以登录这些服务器看到储存在那里等待黑客每天传输的数据。然而等到公司调查人员想到这一点时,数据早已飞走了。
国会的证词显示,联邦执法官员曾在12月12日就信用卡数据被窃一事联系Target。CEO斯泰因哈费尔(Gregg Steinhafel)称公司花了三天时间确认此事。不过政府并非只有盗刷纪录可供追究,消息人士称他们获得了黑客不小心留在弃用服务器上的失窃数据。
恶意软件代码显示一些有意思的蛛丝马迹,其中一个服务器登录密码是Crysis1089,恰好就是Xbox游戏全球排名第十的玩家代号。这个密码似乎还意指1989年10月乌克兰独立和苏联解体前夕发生的群众抗议。
数据渗漏代码中嵌入的另一个用户名是Rescator。Rescator本是1967年法国电影Indomptable Angélique中一位海盗的名字,为一位信用卡数据盗窃老手乌克兰人所采用。Rescator开了cheapdumps.org、Lampeduza.la几个在线信用卡数据交易网站,所用国家域名有老挝、索马里、前苏联等。Krebs等网络安全调查员称,虽然Rescator并非Target失窃数据的唯一倒卖者,但他却最积极,显然正安然无恙地在黑海港口敖德萨做他的买卖。
敖德萨是俄语世界的“海盗岛”(Tortuga),自沙皇时代以来便以流氓、骗子和海盗的集散地著称。今天它是“卡盗者”(Carder)的天堂,2001年5月一群操俄语的黑客成立“卡盗星球”(Carderplanet)黑客社交平台并每年在敖德萨召开年会。Carderplanet已成为全球最大的失窃信用卡数据在线市场,会员超过6000名,其中很多通过承诺“倒卖信用卡让你致富”的网络广告片而招聘。
2005年前后在美国司法部和欧洲执法部门的联合打击下Carderplanet关闭,然而这只不过是让敖德萨的卡盗进入地下。敖德萨黑客社区前首领、如今改邪归正在荷兰一家IT集团担任网络专家的Ilya Zadorozhko表示,今日的卡盗首领从不见面,从不知道彼此的姓名,只有完全匿名的私人通信。
也有Rescator之类的假名。Rescator在俄罗斯黑客论坛vor.cc称自己曾以Helkern的昵称行事。Helkern在网上发布的照片、电子邮件地址和其它细节显示其本人是名叫Andrey Khodyrevskiy的22岁敖德萨人。敖德萨市场营销公司Netpeak内网的一篇博文确认Khodyrevskiy曾使用昵称Helkern。
然而仍然没有确切证据表明Rescator就是Khodyrevskiy。Krebs透露,当他向Rescator的一个地址发送一条即时消息要求和“Rescator也就是Andrey”交谈时,某人回复问他为何希望联系此人。后来他收到Rescator地址发来的信息,给他1万美元封口费,并称Rescator就是Khodyrevskiy。
有证据表明Khodyrevskiy是一名黑客——即便不是一位老练的黑客。2011年2月的一个早晨,敖德萨门户大网站Odesskiy Forum的用户发现其网页出错。管理员迅速断定黑客在网站植入恶意软件并盗取了19万用户的电子邮件地址。攻破Odesskiy Forum很容易,因为一位管理员的密码显示在网站一个很少使用的页面上。不过难以理解为何有人对黑掉一个充斥着列表式广告的本地新闻网站感兴趣,因为该网站没有任何金融数据或其它敏感信息。
攻击Odesskiy Forum的黑客搞砸了:他把窃取的电子邮件地址发往一个代理服务器,但服务器没有足够的能力接收所有数据。一些数据溢出到黑客自己的电脑里,从而暴露了他的IP地址。Odesskiy Forum老板Kozin向乌克兰安全警察报警,不出几天他们就逮捕了Khodyrevskiy。Khodyrevskiy被判处三年缓刑。Kozin等人难以相信这个三流黑客能够策划这起空前的Target信用卡被黑事件。
Khodyrevskiy被捕前是Netpeak公司程序员。Netpeak创始人兼CEO Artyom Borodatyuk回忆道,Khodyrevskiy是一位优秀的程序员,但纪律涣散,上班经常迟到。2011年初警察突然来到Netpeak搜查一位黑客时,Borodatyuk说他马上想到Khodyrevskiy。
本刊想尽各种办法都无法与Khodyrevskiy取得联系。熟悉Target调查的四位咨询人士认为编写恶意软件的很可能就是Rescator。“Rescator”无意中遗留在软件代码中,它是代码编写所用电脑根目录的名称。
这一切意味着不可能是具备Rescator黑客技术的人单独行动。现代电脑犯罪通常是成员能力互补的集体犯罪。Rescator倒卖非法信用卡数据的主要网站Rescator.so风格朴素——没有标识和背景图。网名可在此购买个人信用卡号码,量大从优。
Target在去年12月19日早上六点公开证实被黑,密尔沃基一家IT公司的员工Kelly Warpechowski就知道事情不妙,银行通知她俄罗斯某人用她的信用卡在一家石油公司刷了900美元。人们的愤怒发泄到国会,包括首席金融官John Mulligan在内的Target公司高管被要求2月份到国会陈辞。众议院监管和政府改革委员会上周收到Target关于高管们所作所为的文件。大银行和零售连锁商多年来相互指责对方迟迟不采用更安全的芯片内置技术。这种信用卡如今欧洲已普遍使用,相比磁条信用卡难以伪造。Target承诺公司将率先推进技术变革,上个月宣布在新卡读取技术设备方面投入一亿美元。目前Target股价约为61美元,相比披露公司被黑时几乎未变,同期FireEye的股价上涨一倍多至80美元。
3月初有人攻破Rescator.so盗取了登录名、密码和卡盗的支付信息,随后将其公布在网上。Krebs称尚不清楚是谁黑了Rescator.so,但似乎是希望打击Rescator业务的自卫人士或竞争对手所为。(柠楠/编译)
