10 diciembre 2014

Cronología de la intrusión a Target

Hace ya casi un año que os hablamos de por aquí de uno de los hacks más importantes de la década, sobretodo por la cantidad de usuarios/clientes afectados (más de 70 millones): el compromiso de la cadena americana de tiendas Target.

En Diciembre de 2013 (hace casi un año) nos hicimos eco del hack a Target

En Ars Technica publican las alegaciones por las cuales los bancos pueden proceder a denunciar a la compañía debido a sus negligencias. Uno de los graves problemas a los que se enfrenta Target es el haber hecho caso omiso de las advertencias por parte de terceros en referencia a multitud de problemas de seguridad.


En este enlace en PDF, desde la página 58 a la 66 podremos leer una especie de cronología de eventos desde las primeras detecciones y evidencias sobre las que Target ignoró los graves problemas de seguridad que estaban sufriendo "en directo". Las mencionamos y resumimos a continuación:

  1. La compañía FireEye, famosa por sus soluciones de seguridad anti-APT, es contratada por Target a principios de 2013 para la protección de su infraestructura y detección de malware. En Junio de 2013, FireEye comienza el despliegue masivo de sus soluciones sobre la infraestructura de Target tras diversas pruebas.
  2. Junio 2013-Agosto 2013 - Los atacantes comienzan la fase de reconocimiento para la búsqueda de puntos débiles a aprovechar para comprometer externamente la infraestructura de Target.
  3. Mediante la búsqueda de información pública sobre Target y sus proveedores, se topan con la compañía Fazio, proveedor de sistemas de aire acondicionado y refrigeración para Target. Fazio dispone de acceso restringido a la red para determinados servicios de Target (facturación electrónica, gestión de proyectos y envío de contratos)
  4. Septiembre 2013: Mediante el malware Citadel enviado por correo electrónico, los atacantes consiguieron las credenciales utilizadas por Fazio para el acceso a la red de Target. Fazio utilizaba el MalwareBytes Anti-Malware gratuito como solución antivirus. Insuficiente...
  5. Durante Septiembre de 2013, empleados de seguridad de Target comienzan a reconocer posibles problemas de seguridad en el sistema de pagos de Target gracias al software desplegado por FireEye. Este hecho no trasciende, no se solicita más investigación sobre el tema.
  6. A finales de Septiembre de 2013, Target encargó una auditoría para demostrar que sus sistemas estaban certificados por los estándares de la industria, como PCI-DSS. 
  7. A mediados de Noviembre de 2013, comienza la intrusión sobre Target. Los atacantes acceden a la red mediante las credenciales robadas previamente y pertenecientes a Fazio. Si bien en primera instancia únicamente se disponía de acceso restringido a servicios, la red no estaba segmentada de manera segura.
  8. Los atacantes comienzan a desplegar el malware para puntos de venta en un conjunto acotado para realizar pruebas de su funcionamiento, con éxito.
  9. A finales de Noviembre de 2013, los atacantes instalan el malware en un mayor número de puntos de venta (registradoras). En este momento los atacantes ya comienzan a recibir información sensible de tarjetas de crédito en tiempo real sobre clientes que utilizan los dispositivos comprometidos. En ese momento, también comienzan a instalar malware encargado de realizar la fuga de datos desde los sistemas de Target a los sistemas pertenecientes a los atacantes dentro de la red
  10. El software de FireEye detecta este nuevo malware utilizado por la exfiltración, pero el equipo de seguridad de Target no realiza ninguna acción al respecto. Además, Target disponía de software de Symantec (Endpoint Protection) que también comenzó a detectar este malware, pero Target seguía sin reaccionar. La fuga de información continuaba sin interrupciones.
  11. El 2 de Diciembre de 2013 FireEye vuelve a reportar de nuevo lo ocurrido a finales de Noviembre, pero Target sigue sin llevar a cabo acción alguna.
  12. A mediados de Diciembre de 2013, la información comienza a pasar desde los servidores comprometidos dentro de la red de Target a servidores externos pertenecientes a los atacantes (Centros de Control). Esta fuga se realizó durante dos semanas seguidas sin problemas.
  13. El 11 de Diciembre de 2013 alguien de Target analiza una muestra del malware mediante VirusTotal. A pesar de creer que pudiese ser malicioso, la fuga de información continua.
  14. A partir de ese instante, la información robada se va proporcionando a diferentes portales del mercado negro, y los bancos comienzan a recibir incidencias de sus usuarios debido a que sus datos podrían haber sido comprometidos.
  15. El 15 de Diciembre de 2013, Target comienza a purgar sus sistemas, y el incidente aparece en los medios tradicionales.
Información pública sobre proveedores, requisitos de seguridad inexistentes para la conexión por parte de terceros a la infraestructura de Target, avisos de seguridad ignorados en multitud de ocasiones, problemas de autorización en cuentas de acceso para proveedores, credenciales con usuario y contraseña y ausencia de segundo factor para autenticación, segmentación insegura... un cúmulo de despropósitos que unidos al "pasotismo" aún habiendo realizado la adquisición y asociación de productos de seguridad en un período tan cercano, han llevado al desastre a Target y a sus clientes.

2 comments :

pbust dijo...

"4- Fazio utilizaba el Malwarebytes Anti-Malware gratuito. Insuficiente"

Convendría comentar en este punto que Malwarebytes anunció que si detectaba esa
variante de Citadel en ese momento, pero la version gratuita de su producto es sólo un escaner bajo demanda y no incluye protección en tiempo real (residente). Para más inri su licencia gratuita es solo para usuarios domesticos, no para empresas, con lo que Fazio la estaba pirateando y utilizándolo incorrectamente.

Kayla Marrie dijo...

Hola a todos yo nunca olvidará la ayuda del DR Olokum hacer a mí en mi vida marital. He estado casada durante 4 años y mi marido y yo nos amamos entrañablemente. después de 3 años de nuestro matrimonio mi marido de repente cambiar él estaba teniendo un romance con una mujer fuera, me doy cuenta de que entonces yo estaba orando por la intervención divina la cosa se ​​volvió más serio le dije a mi pastor al respecto Oramos pero nada sucedió. mi esposo acaba de llegar a casa un día a recoger sus cosas y yo y los chicos se fue a su amante fuera en este momento yo era confundir a no saber qué hacer de nuevo porque he perdido a mi esposo y mi matrimonio también. me estaba revisando mis correos en la oficina cuando vi a alguien compartir su testimonio sobre cómo la RD Olokum ayudarla con sus problemas matrimoniales por lo que me puse en contacto el correo electrónico de jayema ​​sacerdote le dije mi problema y me dijeron que para estar tranquilo de que i han llegado al lugar correcto que debo llenar alguna información con respecto a mi auto lo hice después de 30 menos que él me llamó de nuevo me felicitaba de que mis problemas se resuelven dentro de las 48 horas. me dijo lo que salió mal con mi marido y cómo happen.that que será restaurado mi matrimonio pero hará una donación suelta a su orfanato nada a casa mi corazón me decía. para mi mayor sorpresa de mi marido vino a mi oficina pidiéndome en sus rodillas que yo debería encontrar un lugar en mi corazón que lo perdonara, le pregunto rápidamente que yo he perdonado him.friends su caso no, ¿por qué no es muy difícil que dar DR Olokum intentarlo trabajan sorpresas porque sé que también traer de vuelta a su marido. ponerse en contacto con él a través de LAVENDERLOVESPELL@YAHOO.COM