حمله دو بدافزار به دستگاههای pos در سراسر جهان/ويروسي كه مي تواند اطلاعات را از ترافیک شبکه داخلی استخراج کند
شرکت امنیتی آربور نتوُرک (Arbor Network) هشدار داد:
این بدافزارها که دکستر (Dexter) و پروژه هوک (Project Hook) نام دارد، اطلاعات و دادههای مربوط به تراکنشهایی را که با استفاده از دستگاههای فروش فروشگاهی صورت میگیرند، به سرقت میبرند./دکستر و پروژه هوک طوری طراحی شده اند تا هنگامیکه کارت در پایانه فروش آلوده استفاده می شود، اطلاعات خط یک و خط دو نوشته شده در نوار مغناطیسی را بدزدند. هکرها از این اطلاعات استفاده کرده و نسخه تقلبی کارت را می سازند./استارداست یا دکستر نسخه 2 درماه آگوست در بازارهای زیر زمینی آشکار شد. این بد افزار علاوه بر بیرون کشیدن اطلاعات از حافظه سیستم می تواند نوع اطلاعات را از ترافیک شبکه داخلی استخراج کند.
به گزارش پایگاه خبری بانکداری الکترونیک،پژوهشگران نسبت به تشدید فعالیت بدافزارهای جدیدی که دستگاههای فروش فروشگاهی در سراسر جهان را هدف گرفته است، هشدار دادهاند.این بدافزارها اطلاعات و دادههای مربوط به تراکنشهایی را که با استفاده از دستگاههای فروش فروشگاهی صورت میگیرند، به سرقت میبرند.
شرکت امنیتی آربور نتوُرک (Arbor Network) نسبت به گسترش فعالیت بدافزار جدیدی که اطلاعات پرداختها و تراکنشهای کاربران دستگاههای فروش فروشگاهی را هدف گرفته است، هشدار داده است.
پژوهشگران این شرکت اعلام کردهاند این بدافزارها که دکستر (Dexter) و پروژه هوک (Project Hook) نام دارد، اطلاعات و دادههای مربوط به تراکنشهایی را که با استفاده از دستگاههای فروش فروشگاهی صورت میگیرند، به سرقت میبرند. این پژوهشگران از کشف دو سرور خبر دادهاند که بدافزارها اطلاعات و دادههای سرقتی را به آنجا میفرستند.
بر اساس این گزارش، این دو بدافزار طوری طراحی شده است که اطلاعات ذخیره شده بر روی نوار مغناطیسی کارتهای اعتباری را به سرقت میبرند. بررسی پژوهشگران نشان داده است بدافزار دکستر عمدتاً دستگاههای فروش فروشگاهی در کشورهای واقع در نیمکره شرقی را هدف قرار دادهاند و بدافزار هوک نیز در آمریکا و کشورهای اروپایی فعالتر است.
دکستر و پروژه هوک طوری طراحی شده اند تا هنگامیکه کارت در پایانه فروش آلوده استفاده می شود، اطلاعات خط یک و خط دو نوشته شده در نوار مغناطیسی را بدزدند. هکرها از این اطلاعات استفاده کرده و نسخه تقلبی کارت را می سازند.
بدافزار دکستر که برای اولین بار در نوامبر 2012 کشف شد دارای سه نسخه متفاوت به نامهای Dubbed Stardust، Millenium و Revelation است. انتشار کد منبع اولین نسخه این بدافزار باعث جلب توجه بیشتر مجرمان سایبری به بدافزارهای ویژه دستگاههای فروش فروشگاهی شده بود.
سرورهایی که شرکت آربور نت ورک یافته است، از اوایل نوامبر فعال بوده اند و داده های موجود در آنها نشان می دهد برنامه دکستر در کشورهای نیم کره شرقی به کار می رفته است . بدافزار هوک نیز پایانه های فروش در آمریکا و اروپا را هدف قرار داده بود.
به گفته محققان موسسه اینتل کروالر ( یک شرکت امنیت هوسمند در لس آنجلس) کد منبع دکستر نسخه 1.0 فاش شد و این امر علاقه مجرمان سایبری به بدافزارهای پایانه فروش را بیشتر کرد.
آندره کومروف مدیر ارشد اینتل کروالر در بیاینه ای الکترونیکی می نوبیسد شرکت ما به تازگی 31 پایانه فروش در رستوران و فروشگاههای معروف 7 شهر آمریکا یافته است که به نسخه های مختلف ویروس استارداست آلوده بوده اند.
جزییات
به گفته اینتل کراولر استارداست یا دکستر نسخه 2 درماه آگوست در بازارهای زیر زمینی آشکار شد. این بد افزار علاوه بر بیرون کشیدن اطلاعات از حافظه سیستم می تواند نوع اطلاعات را از ترافیک شبکه داخلی استخراج کند.
ویروس استارداست از دو سرور دستور و کنترل استفاده می کند که در روسیه قرار دارند( در مسکو و سن پترزبورگ) و به نظر می رسد گروهی از کلاهبرداران مرتبط با شبکه جرایم سایبری روسیه مربتط باشد. یکی از سرورها به عنوان سرور اصلی عمل می کند و سرور دیگری پشتیبان است.
اینتل کراولر کنترل سرور اصلی را برعهده گرفته است که هنوز فعال است و آن را به سازمانهای قانونی گزارش داده است.
دان کلمنت مدیر اینتل کراولر در ایمیلی مینویسد: احتمالا حدود 20 هزار کارت اعتباری به ویروس استارداست آلوده شده است و شواهد به بنیادهای صدور کارت فرستاده شده است تا نقاط ضعف ردیابی شود.
شرکت اربور نت ورک دقیقا مشخص نکرده است از چه روشی برای نصب بدافزار روی سیستم پایانه فروش استفاده شده است.
محققان این شرکت در این باره نوشته اند: در هر حال سیستمهای پایانه فروش از چالشهای امنیتی رنج می برند که دیگر دستگاههای مجهز به ویندوز با آن روبر هستند مانند ضعف های شبکه ای و میزبانی( مانند دسترسی اسان به اعتبارات یا دسک تاپ از راه دو و شبکه های وایرلس باز که شامل پایانه های فروش می شوند) .
اینتل کراولر در خصوص استارداست متوجه شد کدی آلوده از نقاط ضعف در ClearviewPOS سو استفاده می کند. ClearviewPOS یک برنامه نرم افزاری پایانه فروش است که در صنعت خدمات تهیه غذا بسیار مشهور است.
دکستر نسخ دوم( استارداست) ونسخه سوم(Revolution) می توانند کدی را به یک پایانه فروش ClearviewPOS تزریق کنند تا حافظه آن را بررسی کنند.
به عقیده کارشناسان اربور نت ورک کسب و کارهای کوچکتر نیز هدف های ساده تری برای حملات محسوب می شدند زیرا ایمنی کمتری دارند. از سویی حمله کنندگان ممکن است اطلاعات کمتری از خرده فروشان کوچک دریافت کنند اما تعداد کارتهای مبتلا به ویروس بیشتر است و به دلیل فقدان سیستم گزارشدهی امنیتی طولانی تر خواهد بود.
محققان شبکه اربور معتقدند در آینده بدافزارهای پایانه فروش پیچیده تری ساخته شده و دربازار به کار گرفته می شوند. بعد از مدتی کوتاه تاکتیکهای به کارگرفته شده پیشرفته تر می شوندو به همین دلیل حامیان شبکه باید برای محافظت از پایانه های فروش ودیگر سیستمهای حساس مالی آماده باشند.
مترجم:شيوا سعيدي
منبع:
pcworld