Esta semana, la cadena nacional de productos de belleza Sally Beauty reveló que, por segunda vez en un año, estaba investigando informes de que piratas informáticos habían irrumpido en sus redes y robado datos de tarjetas de crédito de clientes. Esa investigación está en curso, pero recientemente tuve la oportunidad de entrevistar a un ex técnico de TI de Sally Beauty que brindó una mirada de primera mano sobre cómo se produjo la primera brecha en 2014.
El 14 de marzo de 2014, KrebsOnSecurity dio la noticia de que se habían puesto a la venta unas 260.000 tarjetas de crédito robadas de las tiendas Sally Beauty. rescator[dot]CC, la misma tienda que presentó por primera vez las tarjetas robadas en las infracciones de Home Depot y Target. La compañía dijo que los ladrones se llevaron solo 25,000 tarjetas de clientes. Pero la tienda que vendía las tarjetas enumeró cada una por el código postal de la tienda Sally Beauty de la que se robaron los datos de la tarjeta, exactamente como lo hizo esta misma tienda con Home Depot y Target. Un análisis exhaustivo de los códigos postales representados en las tarjetas a la venta en la tienda fraudulenta indicó que los piratas informáticos habían atacado prácticamente las 2600 ubicaciones de Sally Beauty en todo el país.
La compañía nunca reveló detalles adicionales sobre la violación en sí o cómo sucedió. Pero a principios de esta semana hablé con Blake Curlovichasta hace poco un analista de soporte de aplicaciones en Sally Beauty, quien estuvo entre los primeros en responder cuando las alarmas virtuales comenzaron a sonar el año pasado sobre una posible intrusión. Curlovic dijo que, en ese momento, Sally Beauty estaba ejecutando exactamente una solución empresarial para la seguridad: cable trampa (Divulgación completa: Tripwire es un anunciante en este blog). El producto central de Tripwire monitorea el sistema operativo clave y los archivos de aplicaciones en busca de cambios, lo que luego activa alertas.
Tripwire lanzó una advertencia cuando los intrusos colocaron un nuevo archivo en los sistemas de punto de venta dentro de la vasta red de cajas registradoras de Sally Beauty. El archivo era un programa diseñado para robar números de tarjetas mientras se pasaban por las cajas registradoras, y los atacantes habían nombrado su malware como un programa legítimo que se ejecutaba en todas las cajas registradoras de Sally Beauty. También usaron una utilidad llamada pisada de tiempo para cambiar la marca de fecha y hora en su malware para que coincida con el archivo legítimo, pero aparentemente eso no engañó a Tripwire.
Según Curlovic, los intrusos accedieron a través de un Portal de acceso remoto de Citrix configurado para ser utilizado por empleados que necesitaban acceso a los sistemas de la empresa mientras estaban de viaje.
“Los atacantes de alguna manera tenían las credenciales de inicio de sesión de un administrador de distrito”, dijo Curlovic. “Este tipo no era exactamente experto en seguridad. Cuando volvimos a ingresar su computadora portátil, vimos que tenía su nombre de usuario y contraseña pegados en el frente”.
Una vez dentro de la red corporativa de Sally Beauty, los atacantes escanearon y trazaron un mapa completo, ubicaron todas las unidades compartidas y buscaron scripts de Visual Basic (VB). Los administradores de red a cargo de administrar miles o decenas de miles de sistemas a menudo escriben secuencias de comandos VB para automatizar ciertas tareas en todos esos sistemas y, muy a menudo, esas secuencias de comandos contienen nombres de usuario y contraseñas que pueden ser muy útiles para los atacantes.
Curlovic dijo que los intrusos localizaron un script de VB en la red de Sally Beauty que contenía el nombre de usuario y la contraseña de un administrador de red de la empresa.
“Eso les permitió básicamente copiar archivos en las cajas registradoras”, dijo. “Usaron un bucle de archivo por lotes simple, pusieron todos los [cash] registrar las direcciones de Internet que encontraron mientras escaneaban la red, recorrieron allí y copiaron [the malware] a todos los dispositivos de punto de venta, aproximadamente 6000 de ellos. Estuvieron en la red durante una semana antes de planear el ataque”.
OCULTOS A PLENA VISTA
Curlovic dijo el malware plantado en la red de Sally Beauty fue identificado (por algunos proveedores de seguridad) como una variante de FrameworkPOSun programa de robo de tarjetas que extrae datos de la red del objetivo al transmitirlos como tráfico del sistema de nombres de dominio (DNS).
El DNS es la tecnología fundamental de Internet que traduce los nombres de dominio amigables para los humanos, como ejemplo.com, a direcciones numéricas de Internet que son más fáciles de entender para las computadoras. Todas las redes se basan en DNS para ayudar a dirigir a los usuarios mientras navegan en línea, pero pocas organizaciones mantienen registros o registros detallados del tráfico de DNS que atraviesa sus redes, lo que lo convierte en una forma ideal de desviar datos de una red pirateada.
De acuerdo a una reseña de FrameworkPOS por datos g, una empresa de seguridad con sede en Alemania, el malware de robo de tarjetas permite a los atacantes configurar dinámicamente el nombre de dominio al que llegará el tráfico DNS que transporta los datos de la tarjeta robada. Además de eso, el malware ofusca los datos de la tarjeta con un cifrado simple para que no sea inmediatamente obvio como datos de la tarjeta para cualquiera que esté examinando el tráfico DNS.
Pero Curlovic dijo que a pesar de sus ingeniosos métodos de robo de datos, otras partes del malware se escribieron torpemente. De hecho, dijo, un componente del malware en realidad rompió el Servicio de inicio de sesión de red en sistemas de punto de venta infectados, lo que limita la capacidad de las cajas registradoras de Sally Beauty para comunicarse con el resto de la red interna de la empresa. Net Logon es un componente de Microsoft Windows que verifica las solicitudes de inicio de sesión de red.
“Técnicamente no sé qué salió mal con su software, pero Net Logon ya no se iniciaba después de instalarlo”, dijo Curlovic. “No pudimos iniciar sesión de forma remota con las credenciales de dominio y los registros no pudieron comunicarse a través de DNS de manera efectiva después de eso. Fue un indicador bastante grande de que algo andaba muy mal en ese momento”.
En cuanto a la afirmación permanente de Sally Beauty de que solo se tomaron 25,000 tarjetas de clientes, Curlovic dijo que le sorprendería si se limitara a las 260,000 informadas originalmente por este blog.
“Por lo que vi en la información que tenía el Servicio Secreto, 260.000 probablemente estaba en el extremo inferior”, dijo. “Durante el período de tiempo que el software estuvo en los registros y funcionando, debería haber estado más cerca de alrededor de un millón, según la cantidad de transacciones de crédito que Sally Beauty tenía diariamente. Pero dado que el malware realmente no estaba funcionando muy bien, solo estaba capturando una parte de las tarjetas que pasaban debido al problema de formato que rompió el servicio Net Logon.
MENSAJES ANTIAMERICANOS
Curlovic dijo que el malware utilizado en la violación de Sally Beauty de 2014 comunicó los datos de la tarjeta robada a varios dominios que estaban alojados en Ucrania, y que esos dominios en su mayoría tenían nombres que parecían estar elaborados como ataques verbales a los Estados Unidos.
Una de las imágenes vinculadas a las entrañas del malware utilizado en la filtración de Home Depot.
Curlovic dijo que no puede recordar exactamente cuáles eran los dominios, ya que ya no tiene acceso a sus notas en el trabajo, pero que uno de los dominios era algo parecido a «vx.anti-usa-proxy-war».[dot]com.” Curlovic dijo que ya no tiene acceso a sus notas porque fue despedido de Sally Beauty hace unas tres semanas por razones que su antiguo empleador se negó a compartir. Dijo que se enteró a través de una persona en la oficina local de desempleo de Denton, Texas, que alguien en la compañía lo había acusado de acceder a la computadora de otro empleado sin autorización. «Esa es una acusación bastante extraña, ya que todos los administradores de red tienen acceso al sistema de todos en la red».
En cualquier caso, los dominios anti-estadounidenses a los que hace referencia el malware de robo de tarjetas refuerzan una sospecha sostenida por este autor y otros investigadores: que la violación de Sally Beauty fue llevada a cabo por la misma banda del crimen organizado ruso y ucraniano que robó más de 100 millones de tarjetas de crédito y débito de Home Depot y Target.
Como señalé en una historia del 7 de septiembre de 2014, el malware utilizado en la violación de Home Depot incluía varias cadenas de texto interesantes que criticaban a los Estados Unidos por su papel en los conflictos extranjeros, particularmente en Libia y Ucrania.
“Tres de los enlaces apuntan a noticias, artículos editoriales y caricaturas que acusan a Estados Unidos de fomentar la guerra y los disturbios en nombre de la democracia en Ucrania, Siria, Egipto y Libia. Una de las imágenes muestra cuatro cócteles molotov con las banderas de esas cuatro naciones en las botellas, junto a una caja de fósforos adornada con la bandera estadounidense y el fósforo listo para encender. Otro enlace conduce a una imagen del actual conflicto armado en Ucrania entre las fuerzas ucranianas y los separatistas prorrusos”.
“Esto es interesante dado lo que sabemos sobre Rescator, la persona principalmente responsable de administrar la tienda que vende todas estas tarjetas de crédito y débito robadas. A raíz de la brecha de Target, tracé un largo lista de pistas de las diversas identidades en línea de Rescator hasta un joven programador en Odessa, Ucrania. En sus muchas personalidades, Rescator se identificó como miembro de el foro de ciberdelincuencia de Lampeduzay, de hecho, este sitio es donde alerta a los clientes sobre nuevos lotes de tarjetas robadas”.
“Como descubrí en mi perfil de Rescator, él y su tripulación parecían un tanto enamorados del difunto líder libio despótico. Muamar Gadafi, aunque prefieren la grafía fonética de su nombre. El sitio web kaddafi[dot]hk estaba entre las cuatro principales tiendas de cardado dirigidas por el equipo de Rescator (desde entonces se retiró y se fusionó con Rescator[dot]CC). el dominio kaddafi[dot]me fue configurado para servir como un servidor Jabber de mensajes instantáneos para ciberdelincuentes, anunciando su falta de registro y mantenimiento de registros como una razón por la cual los delincuentes deberían confiar en Kaddafi[dot]yo para manejar sus comunicaciones privadas en línea”.
“Cuando me comuniqué con Rescator en diciembre pasado para obtener comentarios sobre mis hallazgos sobre su aparente papel en el robo de Target, recibí una respuesta de mensaje instantáneo de la dirección de Jabber “kaddafi@kaddafi[dot]conmigo” (en esa conversación, la persona que chateaba conmigo desde esa dirección me ofreció pagarme $ 10,000 si no publicaba esa historia; rechacé). Pero también descubrí que Kaddafi[dot]mi dominio era una especie de blog que albergaba propaganda antiestadounidense dura y francamente escalofriante”.
Curlovic dijo que el equipo de respuesta a incidentes que limpió la brecha de 2014 en Sally Beauty encontró otra pista curiosa en el malware que los atacantes colocaron en los dispositivos de punto de venta. Descubrieron que los intrusos habían creado dos versiones del malware de robo de tarjetas: una diseñada para usar en sistemas Windows de 32 bits y otra creada para usar en versiones de Windows de 64 bits. Los autores del malware se tomaron el tiempo de agregar un ícono a la versión de 32 bits del programa que se podía ver si alguien abría el directorio donde se colocó el malware: el ícono era poco más que un fondo negro con «Res» escrito en letras blancas.
Este tipo de firma también se observó en el malware utilizado en la intrusión de Target, que contenía la siguiente cadena de texto: ““z:ProjectsrescatoruploaderDebugscheck.pdb”.
Relacionado:
Libros Qué (sic) leí en 2014: 5 ‘Feliz Navidad, Alex Cross’
Breach Blind Spot pone a los minoristas a la defensiva – Krebs on Security
Venta forzosa de tarjetas robadas en Target Breach – Krebs on Security
Carefirst Blue Cross Breach llega a 1,1 millones – Krebs on Security
