BlackPOS carte bancaire

Après l’attaque du pipeline soviétique, l’empoisonnement de l’eau potable… La saison 2 des dossiers Sentryo poursuit son exploration des cyberattaques en vous livrant les détails de l’attaque massive de Target, spécialiste américain de la grande distribution.

Un accès à distance non protégé provoque le vol de 40 millions de codes bancaires

En novembre et décembre 2013, la compromission de terminaux de points de vente de Target a permis le vol de 40 millions de numéros de cartes bancaires et la compromission de 70 millions de comptes clients. L’accès à distance non protégé d’une société de maintenance en climatisation est à l’origine de l’attaque. Cette cyberattaque est le résultat de la mise en œuvre de techniques d’ingénierie sociale et de l’installation d’un malware de type RAM-scraping capable de collecter des données stockées en RAM.

Les différentes étapes de l’attaque

En premier lieu, une attaque ciblée de la société de maintenance du système de climatisation a permis aux hackers de récupérer des identifiants et des mots de passe de connexion au réseau interne de Target. Les pirates ont ensuite envoyé une pièce jointe infectée par e-mail (spear phishing) afin de prendre le contrôle du système.

Après s’être introduits sur les terminaux de points de vente (Point of Sales – PoS) de Target par rebond sur le réseau industriel, les hackers ont pu installer le malware BlackPOS pour intercepter à la volée les codes de cartes bancaires. Ces données ainsi que les informations relatives aux comptes clients ont ensuite été déposées sur un serveur interne compromis. Les codes bancaires et les données clients ont finalement été exfiltrés vers un serveur FTP localisé en Russie.

BlackPOS
Le malware BlackPOS – ou Reedum ou Kaptoxa -, créé et mis en vente en 2013 par un jeune hacker russe, a été conçu spécialement pour s’attaquer à des terminaux de points de vente pour voler des informations bancaires.

De lourdes conséquences

Suite à l’annonce du vol de données, Target a subi une dévalorisation boursière importante et son CEO a été licencié. Les 40 millions de coordonnées bancaires volées ont été proposées à la vente sur des sites frauduleux.

BlackPOS : de nombreuses failles de sécurité à l’origine de la violation de données

Dans un rapport d’analyse de cet incident, le Comité américain du commerce, des sciences et des transports a pointé du doigt les multiples failles de sécurité et les suites de négligences de Target ayant abouti à cette cyberattaque. Selon ce même Comité, Target aurait pu stopper l’attaque à plusieurs reprises et empêcher ce vol massif de données.

Les erreurs de Target
Toutes les alertes des systèmes de sécurité ont été ignorées. Le système de détection d’intrusion FireEye utilisé par Target a transmis plusieurs avertissements au moment de l’intrusion des attaquants sur le réseau puis au moment de l’exfiltration des données. Le logiciel antivirus Symantec a également détecté un comportement malveillant et émis une alerte qui semble, elle aussi, avoir été ignorée.

Se protéger contre une telle attaque

Plusieurs enseignements sont à tirer de cette cyberattaque massive. L’intégration de la gestion technique des bâtiments dans la gouvernance globale de la sécurité de l’entreprise est un prérequis indispensable pour assurer la sûreté des réseaux. En effet, l’intrusion au sein du réseau interne de Target a été permise par l’intermédiaire d’un prestataire externe, au système de sécurité inexistant.

En interne, plusieurs mesures auraient également permis aux responsables de la sécurité des systèmes d’information de se protéger contre la cyberattaque :

  • prévoir une protection efficiente allant au-delà d’une simple mise en conformité vis-à-vis de la réglementation : Target venait d’être certifié PCI-DSS (norme de sécurité de l’industrie des cartes de paiement), ce qui n’a manifestement pas suffi dans l’attaque BlackPOS ;
  • mettre en place une authentification forte au niveau des accès à distance : c’est à cause d’un accès standard au système externe de facturation que les attaquants ont pu accéder aux données ;
  • cloisonner le réseau afin de préserver les zones sensibles et éviter un déplacement horizontal jusqu’au réseau industriel ;
  • assurer une veille technique sur les failles identifiées sur les PoS : un bulletin d’alerte avait été publié par Visa quelques mois auparavant sans qu’aucune mesure corrective n’ait été appliquée ;
  • mettre en place une cybersurveillance du système d’information intégrant la gestion effective des alertes émises par les dispositifs de détection : l’attaque des terminaux de points de vente aurait sans doute échoué si les avertissements de FireEye et Symantec n’avaient pas été négligés.

Cette cyberattaque démontre une nouvelle fois l’importance pour les entreprises de contrôler les accès au réseau et de surveiller efficacement les activités inhabituelles. Le monitoring de l’ensemble de ses systèmes est essentiel, surtout quand on dispose de données sensibles comme des codes bancaires. Il est également important de sensibiliser ses équipes aux techniques de manipulation à des fins malveillantes : pour cela rien de tel que de découvrir les conseils de Rachel Tobac, une white hat hacker spécialiste du social engineering !

Sources : Fiches réalisées par le groupe de travail SCADA du Clusif en 2017.

https://www.commerce.senate.gov/public/_cache/files/24d3c229-4f2f-405d-b8db-a3a67f183883/23E30AA955B5C00FE57CFD709621592C.2014-0325-target-kill-chain-analysis.pdf

https://www.undernews.fr/malwares-virus-antivirus/le-malware-blackpos-utilise-lors-du-piratage-de-target-developpe-par-pirate-russe-de-17-ans.html

http://www.industrie-mag.com/article3240.html

https://www.ssi.gouv.fr/particulier/principales-menaces/espionnage/attaque-par-hameconnage-cible-spearfishing/