L’industrie hôtelière a un problème de malware de points de vente

En tant que voyageur, vous êtes dans une position vulnérable, et vous voulez croire que la chambre que vous avez réservée constitue votre forteresse. Et une forteresse sécurisée : les portes comportent souvent plusieurs serrures, la chambre contient un minuscule coffre-fort pour entreposer vos objets de valeur, et des caméras de sécurité gardent le hall. 

Bien sûr, en tant que structures d’accueil, les hôtels ont reconnu depuis longtemps qu’ils ont des responsabilités spéciales. Mais les hôtels hébergent aussi vos données, et en particulier vos données de carte de crédit. D’après la recrudescence des vols de données dans les hôtels, ce secteur d’activité ne s’est pas montré à la hauteur en matière de sécurité.  Il s’avère que le vecteur d’attaque de ces violations hôtelières est le même logiciel malveillant de points de vente (PDV) employé contre les grandes surfaces.

Exactement. BlackPos et d’autres variantes de RAM scrapers ont pris de longues vacances dans les hôtels (pendant plusieurs mois apparemment) et y ont capturé de nombreux numéros de carte de crédit. 

Ce qui rend toute l’affaire si surprenante est que peu de choses ont été apprises des énormes violations de la grande distribution.

Scénario d’attaque d’un logiciel malveillant de PDV

Il n’y a rien de vraiment nouveau dans la chaîne d’attaque de ces incidents. Peut-être seulement une chose.  Il existe un nouveau malware de PDV plus furtif que les techniques de la vieille école et qui pourrait avoir joué un rôle dans certains cambriolages de données hôtelières.

En tout cas, la plupart des analystes en sécurité seraient probablement d’accord sur le scénario suivant:

• Les attaquants entrent par (bâillement) phishing, injection SQL ou une autre vulnérabilité bien connue (mots de passe par défaut, etc.). Ils utilisent probablement un RAT ou un autre outil pour la partie initiale de l’attaque.

• Après avoir établi une tête de pont, ils se déplacent latéralement au moyen de techniques standard telles que le balayage des ports, le contournement des conventions de nommage des hôtes, le craquage des mots de passe et le Pass the Hash, toutes les méthodes que nous avons abordées dans notre série d’évaluations écrites. Le but consiste à trouver une machine ou un serveur de PDV.

• Après avoir identifié les périphériques de PDV, les attaquants insèrent la charge utile (le logiciel spécial de lecture de la RAM) et quittent les lieux. À ce stade, ce logiciel « PoSware » prend le relais, contrôlé à distance par les pirates depuis leurs serveurs C2.

• Le PoSware commence à scruter la mémoire du système d’exploitation et à recueillir des données de cartes de crédit, puis vide périodiquement ces données vers le système de fichiers. 

• Enfin, le PoSware exfiltre le fichier de données de cartes de crédit vers les serveurs C2 en l’incorporant à des requêtes HTTP de type POST ou GET.

Bien qu’il existe des variations, le modus operandi ci-dessus reste vrai pour la plupart des attaques de PDV que nous avons vues au cours de ces dernières années.

Jouer en défense

Mais tout comme nous savons comment l’attaque se déroule, les experts en sécurité comprennent aussi la chaîne de destruction, ou comment arrêter l’attaque à différents points de son cycle. Nous avons également rassemblé certains de ces conseils dans un article écrit en 2014. 

Cependant, un des facteurs susceptibles d’avoir changé la donne est que les amateurs ont été remplacés par des pros. Des bandes telles que Black Atlas ont transformé le piratage de PDV en entreprise criminelle.

Il devient donc encore plus essentiel d’augmenter de quelques crans la priorité informatique de la chaîne de destruction des PoSware, en particulier si vous travaillez dans le secteur de l’hôtellerie et des loisirs. 

Voici quelques domaines clés dans lesquels je pense qu’un modeste investissement apportera d’énormes avantages en matière de sécurité :

• Formation des employés – Si vous expliquez à vos employés ce à quoi ressemble un phish mail, vous pouvez arrêter la plupart des attaques dès le début. Dire aux employés de ne jamais cliquer sur un lien ou une pièce jointe d’un courrier électronique externe avant de s’assurer de l’identité de l’expéditeur constitue une bonne stratégie. Nous vous recommandons notre propre e-book sur la question, Anatomy of a Phish.

• Gouvernance des données – Les attaquants ne sont pas des extra-terrestres issus d’une civilisation avancée. Comme le reste de l’humanité, ils doivent accéder au système de fichiers lors de la phase initiale de surveillance et d’exfiltration.  L’idée consiste à examiner soigneusement les listes de contrôle d’accès et à restreindre les accès afin que les pirates ne puissent pas tirer parti des informations d’identification d’un utilisateur aléatoire pour lire, copier et créer des fichiers dans les dossiers et répertoires sensibles.

• Listes d’autorisation – Les systèmes de PDV ne devraient exécuter que les logiciels d’un ensemble bien défini. Après tout, ce sont des ordinateurs dont le but est uniquement de traiter des transactions de cartes de crédit. En théorie, les logiciels de listes d’autorisation qui empêchent le SE de lancer des exécutables non standard constituent un antidote à ces logiciels de piratage. Cependant, la cuvée peut changer. Certaines attaques récentes utilisaient des techniques de rootkit modifiant le noyau qui rendaient ainsi le logiciel malveillant pratiquement invisible au système d’exploitation.

• Gestion des correctifs – Assurez-vous de disposer des correctifs de sécurité les plus récents. Nous en avons assez dit.

• Gestion des informations d’identification/prévention du Pass the Hash (PtH) – Une vaste catégorie. En clair : ne facilitez pas la tâche aux pirates quand il s’agit d’obtenir des informations d’identification.  Assurez-vous d’avoir mis en place des stratégies de mots de passe robustes. Recherchez et supprimez les fichiers de mots de passe en clair ou les fichiers de hachage de mots de passe. Et si possible, désactivez le stockage des mots de passe en clair effectué par Windows en mémoire LSASS. Enfin, assurez-vous que les comptes d’administrateurs de niveau domaine ne sont pas utilisés pour la mise en réseau des machines des utilisateurs : cela permet aux pirates de voler les joyaux de la couronne au moyen du PtH.

Qui veut l’UBA ?

Les attaquants misent sur la chance, et ils peuvent donc quand même en avoir : des mots de passe par défaut qui n’ont pas été changés, un correctif qui a été négligé, ou une attaque de phishing ou de point d’eau dirigée contre le directeur informatique. 

Et il existe des vulnérabilités zero day contre lesquelles il est impossible de se protéger.

C’est là que la surveillance et la notification entrent en jeu. Mais pas seulement la détection d’intrusion ou la recherche de virus standard. Rappelez-vous : les attaquants de PDV se trouvent à l’intérieur et jouent de manière trop furtive pour les techniques de détection conventionnelles.

Mon conseil se résume en cinq mots : analyse du comportement des utilisateurs (User Behavior Analytics, UBA). 

En tant que personne chargée de la sécurité informatique dans l’industrie hôtelière, vous ne pourrez pas détecter ces intrus sans prendre en compte les activités des utilisateurs et du système concernant les fichiers.

Bien qu’ils puissent ressembler à des utilisateurs ordinaires, les attaquants dévoileront leur jeu en accédant à des fichiers de configuration du système, en copiant ou en déplaçant un grand nombre de fichiers, ou en chiffrant des données de carte de crédit, autant d’activités atypiques pour un utilisateur normal.

C’est là où l’UBA entre en scène. Elle analyse le comportement moyen ou normal des utilisateurs réels indépendamment de leurs informations d’identification et informe le groupe de sécurité lorsque des écarts se produisent.  

Bien que vous ne puissiez pas prévenir une intrusion dans un système de PDV d’hôtel, grâce à l’UBA, vous pourrez détecter les activités des attaquants bien en amont dans la chaîne de destruction et dans l’idéal empêcher l’extraction des données de cartes de crédit. 

*Logiciel malveillant destiné à voler les données de paiement