En lang artikkel i Businessweek i forrige uke – Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It – er, så vidt digi.no erfarer, den fyldigste oppsummeringen hittil av hva som gikk galt i desember i fjor da utenforstående brøt seg inn i nettverkene til den amerikanske detaljistkjeden Target og fanget opp data om 40 millioner kredittkort og personinformasjon om 70 millioner kunder.
Les også:
- [27.03.2014] Saksøkt etter datainnbrudd
- [18.03.2014] Farlig Google Docs-phishing
- [14.01.2014] Datavirus i kassa rappet ID-er
Historien dreier seg om en stor detaljist som gjorde mye riktig, men som likevel tapte overfor inntrengere som var verken var spesielt kreative, avanserte eller dyktige.
Target hadde investert tungt i IT-sikkerhet. De hadde en egen IT-sikkerhetsstab på mer enn 300 årsverk. De hadde brukt 1,6 millioner dollar på å implementere en løsning fra FireEye, et framgangsrikt IT-selskap som leverer snokvarslingsteknologi til CIA og Pentagon, og til etterretningstjenester verden over.
For å betjene FireEye-løsningen hadde Target etablert en overvåkningssentral i Bangalore i India og en sikkerhetssentral i Minneapolis.
FireEye etablerer et slags parallelt nettverk av virtuelle maskiner rundt nettverket som skal beskyttes. I teorien skal unormal virksomhet i dette parallelle nettverket oppdages, og ukjent kode skal fanges opp. Unormal trafikk og ukjent skal ikke slippe inn til det virkelige nettverket.
Spørsmålet er da hvorfor dette avanserte vernet ikke virket. Businessweek har brukt seks journalister til å finne svaret. De har intervjuet et titalls interne kilder i Target, og et antall sikkerhetseksperter med kjennskap til alt fra FireEye til internasjonale «carder»-nettverk, det vil si der kredittkortinformasjon og personopplysninger kjøpes og selges.
Svaret kan oppsummeres slik: FireEye-systemet virket som det skulle. Ildrøde alarmer ble sendt og mottatt. De ble oversett. Angrepet kunne vært stanset automatisk. Targets operasjonssentral lot det passere.
Forarbeidet til selve angrepet ble ikke fanget opp av FireEye: Angriperne har antakelig brukt uker på å snoke rundt i Targets interne nett, etter å ha misbrukt passord og brukernavn fra en av Targets leverandører.
30. november kom selve angrepet, i form av forsøk på å installere ondsinnet kode i nettverket. Koden hadde tre oppgaver: Fange kredittkortnummer fra alle kasseapparater i alle Targets 1 797 utsalg i USA, lagre disse på utvalgte servere i Targets nettverk, og så sende opplysningene ut til eksterne servere.
Forsøket på å installere ondsinnet kode ble umiddelbart fanget opp av FireEye-systemet. Koden ble holdt tilbake i det virtuelle nettverket. IP-adressene til serverne der angriperne ønsket å få tilsendt data, ble registrert. Det ble sendt ut flere alarmer, alle på høyeste nivå i FireEye-skalaen.
2. desember ble angrepskoden oppgradert: Den nye koden ble holdt tilbake av FireEye-systemet, og høynivåalarmer ble sendt ut igjen.
Alarmene er loggført. Loggene er gjennomgått av Target. Verken alarmene eller at Target har gått gjennom loggene er bekreftet offentlig.
Ingen i Target reagerte på alarmene.
Dataoverføringen tilbake til angripernes servere startet 2. desember, etter oppgraderingen av angrepskoden.
Hadde Targets IT-sikkerhetsfolk reagert på alarmene kunne de ha stanset dataoverføringen, og ingen data hadde kommet på avveier, verken de 40 millioner kredittkortnummer eller de 70 millioner sett med øvrige personopplysninger.
Target ville vært spart for over 60 millioner dollar i direkte utgifter for å informere kundene om ID-tyveriet og annen oppfølging av innbruddet, samt over 90 hittil meldte søksmål. Target måtte offentlig love å erstatte alle kunder for ethvert tap grunnet misbruk av deres kontoer.
12. desember ble Target varslet av føderale etterforskere at de hadde vært utsatt for et stort datainnbrudd. Saken eksploderte i mediene, og 15. desember måtte Target bekrefte miseren offentlig. Kundene reagerte ved å ty til konkurrentene: Targets overskudd fra julehandelen ble nesten halvert sammenliknet med året før.
Analytikere tror Target kan ha tapt flere milliarder dollar til sammen.
Hvorfor reagerte ikke Targets IT-sikkerhetsfolk på alarmene?
Snokvarslingen til FireEye kan innstilles slik at ondsinnet kode slettes straks det oppdages. Targets folk hadde valgt bort denne innstillingen. Det skal ikke være uvanlig: Mange er skeptiske til å overlate alt for mye til automatikken i et nytt sikkerhetssystem.
Det fordrer at man følger nøye med på alle varslene fra systemet. Det ser ikke ut til at man gjorde det.
Lederen for Targets overvåkingsenhet, Brian Bobo, sluttet i jobben i oktober. Han har ikke villet kommentere forholdet.
FireEye-systemet var ikke alene om å varsle at noe galt kunne være på gang.
Informantene til Businessweek forteller at Targets antivirusløsning, Endpoint Protection fra Symantec, advarte om mistenkelig trafikk i flere dager i slutten av november. Symantec-løsningen pekte også ut en av de samme serverne som FireEye advarte mot.
Et «uinteressant angrep»
Leder for trusselvurderinger i Intels IT-sikkerhetsselskap McAfee, Jim Walter, sier til Businessweek at koden og metoden i angrepet mot Target er «alt annet enn avansert, og helt uinteressant». Han er enig i at dersom Target hadde hatt et godt grep om sikkerhetsarbeidet, ville de sett angrepet, og greid å gjennomføre mottiltak.
Angrepet var laget slik at informasjonen hackerne ville ha tak, ble mellomlagret på tre ulike servere i USA før den ble sendt videre til en mottaker i Moskva. Poenget med dette var å unngå trafikk direkte til Moskva fra nettverket til Target.
Sikkerhetsselskapet AlienVault Labs har analysert denne delen av koden: De sier at brukernavn og passord for de tre serverne der informasjonen ble mellomlagret, kunne leses av koden. Dersom Target hadde reagert på FireEye-varslene 30. november, og analysert koden, kunne de ha oppdaget brukernavnene og passordene, og selv logget inn på serverne. Det ville gitt etterforskningen et viktig forsprang.
De føderale etterforskerne som tok kontakt med Target 12. desember hadde gjort denne analysejobben, og funnet fram til serverne, i henholdsvis Los Angeles, Ashburn i delstaten Virginia og Provo i delstaten Utah. Der lå all informasjonen fortsatt: Angriperne hadde kopiert den til Moskva, men ikke slettet sporene etter seg.
Fra Moskva gikk informasjonen videre til Odessa i Ukraina, et kjent sentrum for internasjonale «carder»-nettverk. Det er ingen mistanke om innblanding eller medvirkning fra russiske myndigheter. Dette er ren, organisert kriminalitet, uten nasjonale bindinger.
