RAM-Scraper und andere Schadprogramme für den Point-of-Sale

Auch wenn der Vorfall nur Kunden in den USA betroffen hat, haben Sie vielleicht davon gehört, dass die amerikanische Supermarkt-Kette Target im letzten Jahr von einem riesigen Datendiebstahl heimgesucht wurde. Die Kreditkarteninformationen von etwa 40 Millionen Kunden sowie persönliche Informationen von zusätzlichen 70 Millionen Kunden wurden durch einen Einbruch gestohlen, der fast ein Monat lang andauerte – und das mitten in der Einkaufszeit vor Weihnachten. Betroffen war fast jeder Target-Supermarkt in den USA.

RAM-Scraper

Auch wenn der Vorfall nur Kunden in den USA betroffen hat, haben Sie vielleicht davon gehört, dass die amerikanische Supermarkt-Kette Target im letzten Jahr von einem riesigen Datendiebstahl heimgesucht wurde. Die Kreditkarteninformationen von etwa 40 Millionen Kunden sowie persönliche Informationen von zusätzlichen 70 Millionen Kunden wurden durch einen Einbruch gestohlen, der fast ein Monat lang andauerte – und das mitten in der Einkaufszeit vor Weihnachten. Betroffen war fast jeder Target-Supermarkt in den USA.

RAM-ScraperMan könnte denken, dass die Angreifer für den geplanten Diebstahl von Kreditkarten von Hunderten Millionen von Target-Einkäufern auf jeden Fall einen Zahlungsprozessor oder die Firmenserver von Target kompromittieren müssten und die Daten en masse von einem zentralen Speicherort stehlen würden. Das wäre sicherlich eine gute Vorgehensweise, um Zahlungsdaten von einem riesigen Händler zu stehlen, doch interessanterweise sind die Angreifer im Fall von Target anders vorgegangen.

Der Zahlungsprozessor oder das Zahlungssystem von Target hatte sogar recht wenig mit dem Vorfall zu tun. Wer immer für den Angriff verantwortlich ist, hat ein besonderes Schadprogramm verteilt, das die Kartenleser und Kassen angreift, also Zahlungssysteme am so gennanten Point-of-Sale (PoS). Darum nennt man solche Schädlinge auch Point-of-Sale-Schadprogramme.

„Point-of-Sale-Schadprogramm werden maßgeschneidert, um diese entschlüsselten RAM-Daten zu sammeln und Zahlungsinformationen wie Kreditkartennummern, Nutzernamen, Adressen sowie Sicherheitscodes und auch Informationen anderere Zahlungskarten herauszufiltern.“

Um eines klarzustellen, die Angreifer haben sich sicher auch irgendwie in die Zahlungsserver des Unternehms gehackt. Das Problem dabei ist aber, dass die Kreditkartendaten, wenn sie einmal den Weg auf diese Server gefunden haben, bereits verschlüsselt sind.  Doch es gibt einen kurzen Zeitraum, in dem diese Informationen unverschlüsselt im Klartext für die Autorisierung der Zahlung zur Verfügung stehen müssen. In diesem Zeitraum speichert die Kasse – oder ein Server in der Nähe, je nach System – die Klartext-Zahlungsdaten in seinem RAM-Speicher.

Und genau hier schlagen PoS-Schadprogramm zu. Sie werden maßgeschneidert, um diese entschlüsselten RAM-Daten zu sammeln und Zahlungsinformationen wie Kreditkartennummern, Nutzernamen, Adressen sowie Sicherheitscodes und auch Informationen anderere Zahlungskarten herauszufiltern. Diese weitgehende Klasse von Schadprogrammen wird deshalb als RAM-Scraper bezeichnet. Sie sind mindestens seit sechs Jahren eine ernste Bedrohung.

Im Fall von Target haben die Angreifer ihr PoS-Schadprogramm wahrscheinlich von einem zentralen Server auf die PoS-Terminals oder die Server übertragen, auf denen die Zahlungsautorisierung abläuft. Denn ansonsten hätten sie ihren RAM-Scraper auf jedem PoS-Terminal in jedem Target-Supermarkt installieren müssen, und das ist eher unwahrscheinlich.

Ein Forscher von Seculert, der den Vorfall untersuchte, stellte fest, dass die Angreifer die Infrastruktur der Point-of-Sale-Systeme über eine infizierte Maschine des Netzwerks kompromittierten. Von dort aus installierten sie wohl eine Variante des beliebten BlackPOS-Schadprogramms, das man recht einfach in kriminellen Hacking-Foren kaufen kann (wenn man weiß, wo man suchen muss).

Laut einer Warnung, die von einer Koalition aus dem Department of Homeland Security, dem United States Secret Service, dem National Cybersecurity and Communications Integration Center, dem Financial Sector Information Sharing and Analysis Center und iSIGHT Partners veröffentlicht wurde, ist BlackPOS recht einfach zu entdecken, da der Quellcode des Schädlings vor Kurzem veröffentlicht wurde.

BlackPOS ist allerdings nicht das einzige PoS-Schadprogramm und Target ist bei weitem nicht das einzige Unternehmen, das vor dieser Bedrohung steht. So haben auch das hochklassige Warenhaus Nieman Marcus und der Kunstbedarf- und Handwerks-Händler Michael’s bekannt gegeben, dass sie zu Opfern ähnlicher Attacken geworden sind. Manche Forscher meinen, dass diese drei Angriffe zusammenhängen, doch solche Behauptungen sind rein spekulativ.

Die veröffentlichte Warnung spricht davon, dass PoS-Schadprogramme kurz vor einer Explosion stehen. Viele der neuen Exemplare – so die Warnung weiter – werden einfach nur Modifikationen bestehender Bank-Trojaner wie Zeus sein. Da PoS-Schadprogramme für Kriminelle immer leichter verfügbar und für die Strafverfolgungsbehörden immer sichtbarer werden, werden die Entwickler von RAM-Scrapern (wie auch die Macher von Bank-Trojanern schon vor einiger Zeit) anfangen, schwerer zu entdeckende private Trojaner zu entwickeln und diese individuell zu verkaufen.

Das Department of Homeland Security und die anderen Mitglieder dieser Koalition haben in den Entwicklerforen eine Zunahme der Werbung (in verschiedenen Sprachen) für PoS-Schadprogramme festgestellt. Mit anderen Worten: Kriminelle veröffentlichen so etwas wie Kleinanzeigen in denen sie anbieten, freiberufliche Entwickler dafür zu bezahlen, RAM-Scraper für sie zu programmieren. Zudem soll eine ähnliche Zunahme der PoS-Schadprogramme im Jahr 2010 festgestellt worden sein: Anfang des Jahres hatten die ausgeschriebenen PoS-Schadprogramm-Projekte einen Wert zwischen 425 Dollar und 2.500 Dollar. Doch schon Ende 2010 war der Wert so eines Projekts auf über 6.500 Dollar gestiegen, da das Interesse an diese Art Schädlinge gestiegen war.

Zudem wird davon ausgegangen, dass die Verteilung von PoS-Schadprogrammen durch exisiterende, Zugangsdaten stehlende Trojaner mit offen zugänglichen Quellcodes ermöglicht wird, die einfach modifiziert werden können, um RAM-Scraping-Operationen auszuführen.

„Durchgesickerter Quellcode von Zugansdaten stehlenden Schadprogrammen könnte ein Startpunkt für Angreifer sein, die nicht das Wissen haben, um ein komplett neues Schadprogramm zu entwickeln, oder für Angreifer, die ihre bisherigen Machwerke verbessern und damit ihre Angriffe effizienter machen möchten,“ so die Warnung weiter. „Solche tiefer gelegten Barrieren für den Start könnten zu mehr Arten von PoS-Schadprogrammen führen, die zum Verkauf angeboten werden, und damit schließlich auch zu günstigeren Preisen und einer größeren Anwenderbasis.“

Das ist der Hauptpunkt. In fast jedem Bereich der Cyberkriminalität gibt es dieses Paradigma. Zunächst sind die Attacken neuartig, schwer durchzuführen und schwer zu kopieren. Doch schließlich werden die Angriffe einfacher, was es auch weniger gut qualifizierten Angreifern ermöglicht, diese Attacken auszuführen. Und darüber hinaus beginnen Angreifer sogar, einfach zu verwendende Angriffs-Kits zu erstellen, die es fast jedem mit einer Tastatur und böser Gesinnung ermöglichen, ins die Cyberkriminalität einzusteigen.

Das ist auch wieder so eine Situation, in der Sie nicht viel tun können. Denn Sie können ja nicht einfach in einen Supermarkt gehen und alle hoffnungslos angreifbaren Windows-XP-Maschinen, die die PoS-Infrastruktur verwalten, mit moderneren und sichereren Betriebssystemen austauschen. Und Sie können auch wenig dazu tun, sicherzustellen, dass Händler die Tipps für sichere Computer und sichere Netzwerke befolgen.

Ein anderes Problem ist, dass es wahrscheinlich viele Vorfälle gibt, von denen wir nie etwas hören werden – egal, ob das so ist, weil die Opfer-Firma nicht ganz ehrlich oder einfach nur schlecht informiert ist (sprich: sie weigert sich oder erkennt nicht, dass ein Einbruch passiert ist). Im Fall von Target hat das Unternehmen allerdings schnell reagiert und sehr sauber über den Einbruch berichtet. Die meisten Banken haben daraufhin Hinweise auf ihren Webseiten veröffentlicht, in denen sie die Kunden über die Risiken aufkklären und damit eine Möglichkeit geben, die Konten zu überwachen und potenziell kompromittierte Kreditkarten auszutauschen. Das ist im Grunde auch alles, was Sie tun können: Lesen Sie die Nachrichten, überwachen Sie Ihr Konto und holen Sie sich eine neue Karte, wenn es nötig ist.

Tipps