Специалисты по информационной безопасности продолжают анализировать код программного обеспечения, которое использовалось для сбора информации о банковских картах с платежных терминалов в сети магазинов Target во время операции Kaptoxa.
Брайан Кребс обнаружил в техническом отчете компании Dell SecureWorks интересный фрагмент, который объясняет один из элементов операции по взлому Target.
На определенном этапе злоумышленникам требовалось передать большие объемы данных из внутренней сети Target на свой сервер. Это соединение показано на скриншоте.
Здесь видно, как через машину с внутренним IP-адресом 10.116.240.31 осуществляется подключение к удаленной системе ttcopscli3acs с именем пользователя Best1_user и паролем BackupU$r. По мнению специалистов SecureWorks, система ttcopscli3acs находится в локальной сети Target, а указанное имя пользователя соответствует популярной программе для управления ресурсами сервера BMC Performance Assurance. Если посмотреть документацию на эту программу, то можно найти справочную статью, где объясняют процедуру удаления аккаунта Best1_user, который создается автоматически при установке BMC Performance Assurance. Хотя BackupU$r не выглядит как пароль по умолчанию, но такие пароли сейчас легко подбираются по словарю: два слова, второе с заменой двух символов.
Таким образом, общая схема операции в Target выглядит примерно таким образом.
Расследование еще не закончено, более подробную информацию должны опубликовать по результатам криминалистической экспертизы на серверах в локальной сети Target.
Кстати, программное обеспечение BMC Performance Assurance установлено не только у Target, но и во многих других торговых сетях, да и не только у них. Это вообще очень популярная программа.
