В обоих случаях использовалась модифицированная версия вредоноса BlackPOS.
К утечке финансовых данных клиентов торговой сети Home Depot причастен модифицированный вариант вредоноса, использовавшегося при атаке на Target. Об этом сообщает в своем блоге Брайан Кребс, ссылаясь на собственные источники.
В среду, 3 сентября, SecurityLab.ru сообщал о произошедшем взломе торговой сети Home Depot, вследствие которого на хакерских торговых площадках начали продаваться финансовые данные клиентов сети магазинов. По словам неназванного источника, близкого к процессу расследования, во время анализа пострадавших терминалов было обнаружено, что во время взлома использовалась модифицированная версия вредоноса BlackPOS, похищающего данные о платежных картах клиентов при их активации через зараженный POS-терминал.
Кребс утверждает, что эта информация свидетельствует о том, что к атаке на Home Depot причастны хакеры, совершившие в декабре 2013 года взлом торговой сети Target. Тогда на POS-терминалах торговой сети также был обнаружен вредонос BlackPOS.
Это открытие подтверждает теорию о том, что утечка данных происходила в течение нескольких месяцев перед обнаружением взлома. В пользу этого утверждения свидетельствует также и то, что на сайте Rescator.cc, где были обнаружены финансовые данные жертв взлома, недавно были выложены еще 9 пакетов с номерами кредитных карт клиентов Home Depot. Rescator также использовался для продажи информации о клиентах Target.
О новой версии вредоноса стало известно совсем недавно. К примеру, компания Trend Micro опубликовала в своем блоге запись о детектировании модифицированной версии BlackPOS лишь 29 августа этого года. В то же время известно, что новый вариант BlackPOS появился в Сети примерно в конце июня этого года, а состоянием на 15 августа этого года лишь один антивирус (McAfee) мог его детектировать.
Есть и более тревожные сведения. По словам Кребса, к атакам на Home Depot и Target причастна группа антиамериканских преступников. Специалист утверждает, что в новой модификации BlackPOS содержатся строки, ведущие на ресурсы, обвиняющие США в разжигании войны на территории Украины, Сирии, Египта и Ливии. Помимо этого, Кребс утверждает, что владелец сайта Rescator – молодой программист из Одессы, состоящий в обществе киберпреступников Lampeduza. Кребсу удалось обнаружить, что одесский программист каким-то образом связан с ныне покойным Муаммаром Каддафи. На web-странице Kaddafi.hk продавались номера похищенных кредитных карт, а владельцем сайта был человек, связанный с Rescator.
Когда в декабре 2013 года Кребс связался с владельцем сайта Kaddafi.hk, чтобы узнать о его причастности к взлому Target, ему предложили 10 тысяч долларов, чтобы информация об этом не попала в общественное достояние. Специалисту удалось обнаружить, что владелец сайта также имеет отношение к странице Kaddafi.me, распространяющей пропагандистские материалы антиамериканского толку.
Спойлер: она начинается с подписки на наш канал