A cura di Dennis Schwarz, Research Analyst dell’ASERT Team di Arbor Networks
I sistemi di pagamento POS continuano a essere oggetto di attacchi informatici, perpetrati mediante una crescente varietà di malware. Gli esperti in sicurezza informatica di Arbor Networks hanno recentemente analizzato FlokiBot, una variante del trojan Zeus utilizzata dagli aggressori per colpire i sistemi bancari.
l malware Zeus è stato creato intorno al 2009 e ha dato vita a numerose versioni e varianti negli anni successivi. La diffusione di Zeus dimostra che si tratta di una piattaforma ben collaudata a cui i criminali informatici continuano ad appoggiarsi per creare nuovi malware destinati al settore bancario. FlokiBot include 26 comandi bot e tre tipi di attacchi DDoS e riesce inoltre ad analizzare la RAM dei sistemi POS sfruttando la tecnica del “memory scraping”.
L’attacco DDoS è una funzionalità relativamente insolita tra le varianti di Zeus. Due recenti analisi condotte dal gruppo ASERT non hanno infatti evidenziato la sua presenza nelle varianti denominate Panda Banker e Sphinx.
È raro che i malware sviluppati a partire da Zeus riescano ad attaccare i POS, ma in generale i malware diretti ai POS sono estremamente diffusi. Quando il consumatore utilizza la carta di credito in un esercizio commerciale, i dati della carta (contenuti nella banda magnetica situata sul lato posteriore) vengono memorizzati dal programma di registro del sistema POS utilizzato. Per ottenere tali dati, i malware diretti ai POS, tra cui ad esempio FlokiBot, analizzano la memoria del computer ricercando schemi di dati corrispondenti al formato dei dati delle carte di credito. Una volta identificata una potenziale corrispondenza, il malware trasmette i dati all’aggressore informatico, che li utilizza per creare nuove carte di credito contraffatte oppure li rivende sul mercato clandestino (nei cosiddetti “card shop”) ad acquirenti che a loro volta li useranno per creare nuove carte di credito contraffatte.
Ci sono tuttavia delle buone notizie per gli esercizi commerciali. Dal 2013, la difesa dei sistemi POS è divenuta una priorità per i team dedicati alla sicurezza informatica. Secondo la Relazione 2016 di Verizon sulle violazioni di dati, la vita dei criminali informatici si sta facendo sempre più difficile.
“Tanto i piccoli furti mirati quanto gli attacchi a danno di grandi organizzazioni sfruttavano i sistemi di autenticazione statici a singolo fattore. Gli aggressori hanno dovuto affinare le loro armi e darsi da fare per riuscire a compromettere credenziali valide e non predefinite con cui accedere agli ambienti informatici. Inoltre, hanno iniziato a trasmettere le credenziali trafugate da punti di appoggio della rete anziché direttamente da Internet.”
Raccomandazioni per la difesa dei sistemi POS
La sicurezza dei sistemi POS è migliorata, ma necessita ancora di ulteriori perfezionamenti. Come dimostra FlokiBot, i criminali informatici continuano a innovare le strategie di attacco poiché la posta in gioco è sempre molto alta. Tutte le organizzazioni, a prescindere dalla grandezza, sono incoraggiate a valutare seriamente la conduzione di un’analisi approfondita della sicurezza delle infrastrutture dei sistemi POS per identificare le eventuali compromissioni esistenti e per rafforzare le difese contro un avversario che continua a crescere e ad ampliare le sue capacità di attacco. Un buon punto di partenza è la conformità alle norme PCI-DSS.
I PARTNER AZIENDALI. Una misura di sicurezza di base consiste nella riduzione del fronte di minaccia, con particolare attenzione ai partner dell’azienda: il 97% delle violazioni con furto di credenziali sfrutta un accesso legittimo attribuito a un partner aziendale (Verizion 2016).
MACCHINE DEDICATE. La macchina su cui gira il software del POS deve essere dedicata unicamente a questa attività. È inoltre necessario rafforzarla prima della messa in servizio per ridurre la presenza di porte aperte e limitare l’uso delle applicazioni consentendo solo quelle assolutamente necessarie per la funzionalità core.
SEPARAZIONE DA INTERNET. I sistemi POS devono essere separati dal resto della rete, limitando la connettività in entrata e uscita alla misura necessaria per facilitare la funzionalità core. La connettività va sottoposta a rigidi controlli, stabilendo un parametro base di traffico legittimo che consenta di identificare il traffico anomalo e generare un allarme.
LA VOCE DEL TRAFFICO. È necessario implementare un efficace sistema di monitoraggio, con l’obiettivo di identificare il traffico sospetto proveniente o diretto alle macchine POS sulla rete interna e il traffico sospetto proveniente o diretto a sistemi di supporto o sistemi considerati sicuri dall’infrastruttura POS.
LA VIGILANZA. Una volta effettuati test approfonditi, sulle macchine POS vanno utilizzate in maniera aggressiva le applicazioni anti-malware per identificare potenziali malware non noti.
IDENTIFICAZIONE DEI TENTATIVI DI ESTRAPOLAZIONE DEI DATI. Le aziende devono avvalersi di molteplici tecniche di monitoraggio dell’infrastruttura sensibile per identificare le attività insolite a livello di host e rete. Le classi di rischio e complessità sono variabili e le attività di sicurezza possono rivelarsi più o meno difficili a seconda della funzionalità e della segmentazione di rete/processi. Se la rete non è correttamente configurata per consentire il traffico solo dove è realmente necessario, il numero di sistemi che possono tramutarsi in punti di appoggio per il furto di dati aumenta e gli aggressori hanno quindi a disposizione più possibilità e luoghi per nascondere il loro traffico, nel tentativo di estendere la profondità e la durata delle loro campagne.