تم اكتشاف البرامج الخبيثة الخاصة بنقاط بيع دكستر منذ أكثر من عام، ولا تزال نشِطة بشكلٍ أساسي في روسيا والشرق الأوسط وجنوب شرق آسيا، بينما يشهد نظيرها Project Hook نجاحًا مماثلاً في الولايات المتحدة الأمريكية، مما دفع الخبراء إلى إصدار تنبيه بأن التجارة الموسمية الخاصة بالأعياد والعطلات سوف تزيد خلال هذه الأيام.
وقد اكتشف الباحثون في أربور نتوركس الشهر الماضي خادمين يستضيفان البرامج الخبيثة المستندة إلى ويندوز، ويقومان بنشر الحملات النشِطة الحديثة.
يختلف ديكستر وProject Hook عن غيرهما من هجمات نقاط البيع التقليدية، التي تعتمد على الكاشطات التي يتم تثبيتها فعليًا على نقاط النهاية، أو رسائل التصيُّد الإلكترونية التي تُغري المستخدمين الموجودين على أجهزة ويندوز لاستضافة برامج نقاط البيع. ولكن بدلاً من ذلك، يتم حقن البرنامج الخبيث في الملفات المستضافة على خوادم ويندروز قبل أن يتم إلغاء وكشط أرقام بطاقات الائتمان، لتصبح كما لو أنها أُدخِلَت عن طريق نظام نقاط البيع.
وقد صرح كبير المحللين والباحثين في أربور نيتوركس كورت ويلسون: أن هناك خادمين جديدين تم العثور عليهما في تشرين الثاني/ نوفمبر، وقد تم إبلاغ جهات إنفاذ القانون بالإضافة إلى مركز الخدمات المالية للتحليل وتبادل المعلومات (FS-ISAC)، وقد صرح ويلسون، أنه خلال فترة أسبوعين، عندما كان باحثو أربور يراقبون ويرصدون بنشاط الخوادم، كانوا قد رأوا 533 نقاط نهاية مصابة تُعيد الاتصال بالبنية التحتية الخاصة بالقيادة والتحكم.
وقال ويلسون: “كانت الطريقة التي اتبعها المهاجمون هي إعداد الخادم، وقد رأينا بيانات بطاقة الائتمان التي تم نشرها على الموقع.” وأضاف: “كان المهاجمون يقومون بإزالة ملفات الدخول والتسجيل بشكلٍ دوري؛ لذلك، لم يكن هناك وسيلة إخطار بالمدة التي استمرت فيها الحملات.”
وقد حددت أربور ثلاثة إصدارات من دكستر هم: ستاردست، الذي يُعَد إصدارًا أصليًا على الأرجح، وميلينيوم وريفيلاشن، ومن المحتمل أن يكون ريفيلاشن هو الإصدار الأخير، وهو قادرٌ على نقل البيانات المسروقة ليس فقط عبر HTTP (بروتوكول نقل النص الفائق) مثل الإصدارات السابقة بل أيضًا عبر FTP (بروتوكول نقل الملفات)، وهو الإصدار الأول بالنسبة للبرنامج الخبيث POS (نقاط البيع). وأضاف ويلسون: أن باحثي أربور لم يكونوا قادرين على تحديد كيفية حدوث العدوى الأولية. وقال أيضًا: أن خادمَيْ القيادة لم يَعُدا على اتصالٍ بشبكة الإنترنت.
وقد تم اكتشاف ديكستر منذ أكثر من عام، وتم الإبلاغ عنه بواسطة الباحثين الذين يعملون في شركة سيكيوليرت، الذين أبلغوا في الوقت ذاته عن الحملات التي كانت تحصد المزيد من الضحايا في عمليات البيع بالتجزئة الكبيرة والفنادق والمطاعم. وفي ذلك الوقت، كانت هناك ضحايا في 40 دولة، وتَرَكَّز معظم هؤلاء الضحايا في الولايات المتحدة والمملكة المتحدة.
وكتب أفيف راف كبير المسؤولين الفنيين بشركة سيكيوليرت في مدونته في ديسمبر الماضي: “يسرق ديكستر قائمة العمليات من الجهاز المصاب أثناء تحليل عمليات تفريغ الذاكرة الخاصة ببرنامج POS (نقاط البيع) المحدد ذات الصلة بالعمليات، ثم يبحث عن بيانات بطاقة الائتمان مسار 1 / مسار 2.”
وأضاف: “في الغالب سوف يتم استخدام هذه البيانات عن طريق مجرمي الإنترنت لاستنساخ بطاقات الائتمان التي تم استخدامها في نظام POS (نقاط البيع) المستهدف.”
تُزَوِّد أنظمة نقاط البيع القراصنة (المهاجمين) ببيئة غنية بالأهداف. وغالبًا ما تكون هذه الأنظمة قابلة للوصول عبر شبكة الإنترنت، وعادةً ما تخضع للحراسة والتأمين عن طريق كلمات مرور ضعيفة أو افتراضية، والتي تكون بمثابة لعبة أطفال.
وقد حدد آخر تقريرين للتحقيقات الخاصة باختراق بيانات شركة فيرايزون للاتصالات، تجار التجزئة الصغار ومقدمي خدمات الضيافة بصفتهم الضحايا الرئيسيين لمثل هذه الهجمات الانتهازية؛ وذلك بسبب موارد الأمن المحدودة.
وقال ويلسون: أن بعض أجهزة الضحايا لم تكن مُخَصَّصَة لخوادم PoS (نقاط البيع)؛ خاصةً أن هناك واحدًا كان يستضيف أيضًا نظام إدارة الأمن المادي الذي يدير نظام التحكم في الوصول وبرنامج قارئ البطاقة.
وقال ويلسون: “تشير البيانات التي تمت تصفيتها وترشيحها سابقًا والتي قمنا برؤيتها، أن الأجهزة المُختَرَقَة تُضاعف الوظائف والمهام وتُشَغِّل نقاط البيع على الجهاز للقيام بشيءٍ آخر. لذلك، يجب أن يتم تخصيص أجهزة PoS (نقاط البيع) وغلقها وتأمينها، وأن يكون لديها سياسات خاصة تُطَبَّق عليها.”
وأضاف: “إنها ممارسة سيئة أن يتم تكديس هذا الكم الكبير على نظامٍ واحد؛ وذلك لأن المهاجم الذي يستطيع الوصول إلى بيانات بطاقة الائتمان يمكنه أيضًا الوصول إلى أي شيءٍ آخر مُدرَج أيضًا في نظام الإدارة.”
وقال ويلسون: أن العدوى الأولية قد تحدث إما عن طريق رسائل التصيُّد التي تستدرج الضحايا إلى المواقع المستضيفة لديكستر أو Project Hook، أو يقوم المهاجمون باستغلال أوراق الاعتماد الافتراضية للوصول إلى هذه الأنظمة عن بُعْد.
وقال ويلسون: “في العطلات والأعياد يتزايد نشاط PoS (نقاط البيع)، بالإضافة إلى زيادة حجم المعاملات؛ لذلك يصبح الآن هو الوقت المناسب لتقوية وتحصين النظم الأمنية.” وأضاف: “يجب أن تغطي الأساسيات هذا الأمر؛ حيث توجد توقيعات IDS (نظام كشف التسلل) تُكتَب لهذا البرنامج الخبيث، كما توجد مؤشرات للاختراق سوف تظهر، وبالإضافة إلى ذلك، يجب أن توقِف خدمة مكافحة البرامج الضارة الأساسية تقنيات عملية الحقن المستخدمة هنا.”
وفي الوقت ذاته، ذكرت اليوم شركة آرس تكنيكا، أن هناك اكتشافًا لأول شبكة بوتنت كانت تستهدف نظام نقاط البيع، وقد وجدت شركة أمن في لوس أنجلوس تُسَمَّى IntelCrawler، أن شبكة بوتنت هذه كانت قد أصابت ما يقرب من 150 فرعًا لمحلات ساندوتشات Subway، وسرقت 146000 من أرقام بطاقات الائتمان.
النصائح