Violation par logiciel malveillant des terminaux de paiement de Target
Les attaquants ont pénétré chez Target grâce à des identifiants dérobés à un sous-traitant en CVC, ont pivoté vers le réseau de paiement et ont volé les données de piste magnétique de 40 millions de cartes de crédit et de débit ainsi que les données personnelles de 70 millions de clients.
- Victime
- Target Corporation
- Perte
- $292.0M
- données
- 110.0M
- utilisateurs
- 110.0M
À l'approche de Noël 2013, des attaquants ont implanté le logiciel malveillant de balayage de mémoire BlackPOS sur les terminaux de point de vente de Target Corporation à travers les États-Unis et exfiltré les données de piste magnétique de 40 millions de cartes de paiement ainsi que les données personnelles de 70 millions de clients. Le point d'entrée était un sous-traitant en CVC tiers disposant d'un accès réseau distant au portail de facturation de Target — faisant de cette affaire l'étude de cas qui a inscrit le risque lié aux tiers à l'ordre du jour de tout RSSI.
Ce qui s'est passé
L'intrusion a débuté par un e-mail de harponnage adressé à Fazio Mechanical Services, un sous-traitant en CVC de Pennsylvanie qui surveillait les systèmes de chauffage, de ventilation et de climatisation de Target à des fins d'efficacité énergétique. L'antivirus de Fazio était un outil gratuit de qualité grand public, inadapté à une organisation disposant d'un accès distant privilégié au réseau d'un distributeur du Fortune 50.
Les attaquants ont collecté les identifiants de Fazio pour le portail de facturation externe Ariba de Target et les ont utilisés pour se connecter. À partir de là, ils ont pivoté en interne — exploitant une faible segmentation réseau entre l'infrastructure de gestion des fournisseurs de Target et son réseau de traitement des paiements. Le portail fournisseurs n'aurait jamais dû avoir de chemin vers l'environnement des terminaux de paiement ; il en avait un, et les attaquants l'ont trouvé.
À la veille du Black Friday 2013, les opérateurs ont déployé BlackPOS (également connu sous le nom de Kaptoxa, « pomme de terre » en russe translittéré) — un logiciel malveillant de balayage de mémoire pour terminaux de paiement qui capturait les données de piste des cartes de paiement depuis la RAM au moment du passage de la carte, avant leur chiffrement. Les données de cartes étaient regroupées sur un petit nombre de serveurs internes, puis exfiltrées vers des sites de dépôt au Brésil et en Russie.
Le détail le plus douloureux du post-mortem : le déploiement FireEye de Target a alerté sur le logiciel malveillant le 30 novembre 2013 — trois semaines avant la divulgation publique. Les alertes ont été transmises au SOC externalisé de Target à Bangalore, qui les a jugées non critiques. Le SOC interne de Target n'a pas non plus donné suite.
Impact
- 40 millions de cartes de paiement volées avec l'intégralité des données de piste 1/piste 2 des bandes magnétiques — permettant la fraude par clonage de cartes chez les distributeurs américains.
- 70 millions d'enregistrements clients (noms, adresses, numéros de téléphone, e-mails) volés séparément.
- Coûts directs pour Target : ~202 millions de dollars avant assurance, dont :
- 18,5 millions de dollars de règlement multi-États avec les procureurs généraux (2017, le plus important règlement de violation avec des procureurs généraux américains à l'époque)
- ~10 millions de dollars de règlement de recours collectif pour les consommateurs affectés
- 39,4 millions de dollars de règlement avec les banques pour les coûts de réémission de cartes
- plus de 100 millions de dollars de mise à niveau EMV / remédiation informatique
- Le PDG Gregg Steinhafel a démissionné en mai 2014 — le premier PDG d'une entreprise du Fortune 500 à partir directement à la suite d'un incident cyber, créant un précédent en matière de responsabilité cyber au niveau du conseil d'administration.
- La DSI Beth Jacob a démissionné en mars 2014.
Pourquoi c'est important
Target est le cas canonique de l'échec en matière de risque lié aux tiers et de segmentation réseau. Il a établi :
- Qu'un seul maillon faible dans la chaîne des fournisseurs peut compromettre un distributeur du Fortune 50. Le sous-traitant en CVC était traité comme un fournisseur de faible priorité ; son jeu d'identifiants a constitué le vecteur d'entrée de la violation de la distribution américaine la plus dommageable à ce jour.
- Que des alertes sans action sont pires que pas d'alertes du tout — Target disposait d'une détection de premier ordre (FireEye), qui a bien détecté l'attaque, mais la chaîne de réponse a échoué.
- Que la responsabilité cyber au niveau du conseil d'administration est une conséquence viable des incidents majeurs. La démission de Steinhafel a redéfini les attentes du comité de direction quant à la responsabilité des résultats cyber.
- Que les normes du secteur des cartes de paiement (PCI-DSS) ne préviennent pas à elles seules les violations. Target était conforme à la norme PCI au moment de l'attaque.
La transition accélérée du secteur de la distribution américain vers les cartes à puce EMV à la suite de Target a constitué le plus grand changement comportemental induit par une seule violation — fin 2015, la responsabilité américaine de la fraude par bande magnétique avait été transférée à la partie (commerçant ou émetteur) ayant omis de prendre en charge les transactions par puce.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$90.0M
- Remédiation$100.0M
- Amendes & règlements$102.0M
Chronologie
Les attaquants envoient un cheval de Troie variante de Citadel par e-mail de harponnage à Fazio Mechanical Services, un sous-traitant en CVC de Pennsylvanie assurant la maintenance des systèmes CVC de Target.
Les attaquants utilisent les identifiants compromis de Fazio pour se connecter au portail de facturation externe de Target, puis pivotent en interne vers le réseau d'entreprise de Target.
À la veille du Black Friday, le logiciel malveillant BlackPOS / Kaptoxa est déployé sur l'infrastructure de point de vente de Target. Le balayage de la RAM capture les données de piste 1/piste 2 des bandes magnétiques au moment du passage en caisse.
La supervision réseau de FireEye (déployée chez Target) détecte le logiciel malveillant et émet une alerte. Les alertes ne donnent lieu à aucune action de la part du SOC de Target à Bangalore.
Le département américain de la Justice avertit Target de la violation après que des cartes dérobées commencent à apparaître sur des marchés criminels russes (boutique de carding « Rescator »).
Brian Krebs révèle publiquement l'affaire ; Target confirme le vol de 40 millions de cartes de paiement.
Target étend sa divulgation : 70 millions d'enregistrements supplémentaires (noms, adresses, e-mails) ont également été volés.
La DSI Beth Jacob démissionne.
Le PDG Gregg Steinhafel démissionne — premier PDG d'une entreprise du Fortune 500 américaine à partir directement à la suite d'un incident cyber.
Target conclut un accord avec 47 procureurs généraux d'États américains pour 18,5 millions de dollars ; le total combiné des règlements et de la remédiation dépasse 292 millions de dollars.
Sources
- krebsonsecurity.comhttps://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/
- commerce.senate.govhttps://www.commerce.senate.gov/services/files/24d3c229-4f2f-405d-b8db-a3a67f183883
- ftc.govhttps://www.ftc.gov/news-events/news/press-releases/2017/05/target-pay-185-million-multistate-settlement-2013-data-breach