在信用卡数据的大规模黑客攻击中未能发出警告 - 彭博社

美国历史上最大的零售黑客事件并不是特别有创意，也似乎注定不会成功。在2013年感恩节前的几天里，有人向 Target 的安全和支付系统中安装了恶意软件，旨在窃取在该公司1797家美国商店使用的每一张信用卡。在关键时刻——当圣诞礼物被扫描并装袋，收银员要求刷卡时——恶意软件会介入，捕获购物者的信用卡号码，并将其存储在被黑客控制的Target服务器上。

这反映了这些犯罪行为变得多么普遍，以及黑客在此案中的方法是多么常规，以至于Target对此类攻击做好了准备。六个月前，该公司开始安装由计算机安全公司 FireEye 制造的价值160万美元的恶意软件检测工具，该公司的客户还包括中央情报局和五角大楼。Target在班加罗尔有一个安全专家团队，全天候监控其计算机。如果班加罗尔发现任何可疑情况，位于明尼阿波利斯的Target安全运营中心将会被通知。

在11月30日星期六，黑客们设置好了陷阱，只需做一件事就可以开始攻击：规划数据的逃逸路线。当他们上传外泄恶意软件以移动被盗的信用卡号码——首先到分散在美国的中转点以掩盖他们的踪迹，然后进入他们在俄罗斯的计算机时——FireEye发现了他们。班加罗尔收到了警报，并标记了明尼阿波利斯的安全团队。然后…… 什么也没发生。

出于某种原因，明尼阿波利斯没有对警报作出反应。彭博商业周刊采访了10多名熟悉该公司数据安全操作的前Target员工，以及八名对黑客攻击及其后果有具体了解的人，包括前员工、安全研究人员和执法官员。他们讲述的故事是一个警报系统，旨在保护零售商与客户之间的联系，运作得非常顺利。但随后，Target却袖手旁观，导致4000万张信用卡号码——以及7000万个地址、电话号码和其他个人信息——从其主机中泄露。

当被要求对有关事件及公司未能立即作出反应的具体问题清单作出回应时，Target董事长、总裁兼首席执行官Gregg Steinhafel发出了电子邮件声明：“Target在2013年9月被认证为符合支付卡行业（PCI）标准。尽管如此，我们还是遭遇了数据泄露。因此，我们正在对我们的人员、流程和技术进行全面审查，以了解我们改善数据安全的机会，并致力于从这次经历中学习。虽然我们仍在进行中的调查中，但我们已经采取了重要措施，包括开始重组我们的信息安全结构以及加快向芯片卡的过渡。然而，由于调查尚未完成，我们认为在没有最终分析的情况下进行猜测并没有建设性。”

超过90起诉讼已由客户和银行针对Target提起，指控其疏忽和要求赔偿。这还不包括其他费用，分析师估计可能高达数十亿。根据Target向投资者提交的第四季度报告，截至2月1日，Target在应对数据泄露方面花费了6100万美元。它建立了一个客户响应操作，并为了恢复失去的信任，Steinhafel承诺消费者不会承担因数据泄露而产生的任何欺诈费用。Target在假日购物季的利润比去年同期下降了46%；交易数量遭遇自2008年开始报告该统计数据以来的最大下降。

在国会作证时，Target表示，只有在美国司法部在12月中旬通知零售商有关数据泄露后，公司调查人员才回过头来弄清楚发生了什么。它没有公开透露的是：在仔细查看计算机日志时，Target发现了11月30日FireEye的警报以及12月2日的更多警报，当时黑客安装了另一个版本的恶意软件。这些警报不仅应该不可能被忽视，而且响起的时间足够早，以至于黑客尚未开始将被盗的卡数据从Target的网络中传出。如果公司的安全团队在应该响应时采取行动，这场自那时起席卷Target的盗窃事件，涉及多达三分之一的美国消费者，并导致对黑客的国际追捕根本不会发生。 Target的反黑客行动的核心位于明尼阿波利斯市中心一栋建筑的六楼的一个封闭房间里。那里没有面向内部的窗户，只有一扇锁着的门。访客按铃，然后等待视觉扫描后被允许进入。

如果你见过一个安全运营中心，或者SOC，你基本上就见过所有的。在里面，分析师坐在监控Target价值数十亿美元的IT基础设施的屏幕前。政府机构通常会建立自己的SOC，大型银行、国防承包商、科技公司、无线运营商以及其他拥有集中存储高价值信息的公司的情况也是如此。然而，零售商往往不会。大多数仍然专注于他们的主要任务，销售商品——部分原因是他们庞大的商店网络和电子商务入口点很难防范入侵。Verizon企业解决方案进行的一项为期三年的研究发现，企业在仅31%的情况下通过自己的监控发现了安全漏洞。对于零售商来说，这一比例仅为5%。他们是数字草原上的角马。

Target努力与众不同。公司官员表示，其信息安全员工现在超过300人——自2006年以来增加了十倍，一位该连锁店的前信息安全经理表示。在感恩节攻击发生前不到一年，Target引入了FireEye，一家位于加利福尼亚州米尔皮塔斯的安全软件公司，该公司最初由CIA资助，并被全球的情报机构使用。 该系统通过在虚拟机上创建一个平行计算机网络来工作。在来自互联网的数据到达Target之前，它们会经过FireEye的技术，在那里，黑客的工具被愚弄成认为它们在真实的计算机上工作。该技术在攻击发生之前就能发现攻击，然后警告客户。与标记过去漏洞的恶意软件的杀毒系统不同，客户表示，FireEye在黑客使用新工具或定制攻击时不那么容易被欺骗。“这是一种非常聪明的方法，”前CIA首席信息安全官罗伯特·比格曼说。“几年前我们第一次开始与他们合作时，没有人会想到以这种方式进行。”

在11月30日，根据一位参与Target调查但未获授权公开发言的人士，黑客部署了他们定制的代码，触发了FireEye的警报，显示出不熟悉的恶意软件：“malware.binary”。随后出现了更多细节，包括黑客希望将其窃取的数据发送到的服务器地址。随着黑客插入更多版本的相同恶意软件（安全研究人员表示，他们可能使用了多达五个版本），安全系统发出了更多警报，每个警报都是FireEye分级系统中最紧急的，参与Target调查的人士表示。

“所使用的恶意软件绝对不复杂且无趣，”安全技术公司McAfee的威胁情报运营总监Jim Walter说。

如果没有人为干预，这次泄露本可以在此处被阻止。该系统有一个选项可以在检测到恶意软件时自动删除它。但根据两位在泄露后审计FireEye表现的人士，Target的安全团队关闭了该功能。Bombardier Aerospace的首席信息安全官Edward Kiledjian表示，这并不罕见。“通常，作为一个安全团队，你希望有最后的决策点‘我该怎么做’，”他说。但他警告说，这给团队施加了压力，要求他们迅速找到并消除被感染的计算机。

Target进行了为期数月的FireEye测试，该测试于5月结束，并在公司庞大的IT系统中推广该技术。两位熟悉Target安全操作的人士表示，在黑客攻击时，FireEye可能仍然受到其管理者的某种怀疑。而SOC经理Brian Bobo在10月离开了公司，根据他的LinkedIn页面，留下了一个关键职位空缺。（Bobo拒绝发表评论。）然而，很明显，Target收到了严重泄露的警告。甚至公司的杀毒系统Symantec Endpoint Protection在感恩节前后的几天内识别出了可疑行为——指向FireEye警报所识别的同一服务器。“所使用的恶意软件绝对不复杂且无趣，”安全技术公司McAfee的威胁情报运营总监Jim Walter说。如果Target对其网络安全环境有一个牢固的掌握，他补充道，“他们绝对会观察到这种行为在其网络上发生。”

Target的安全失误并不止于此。其发言人Molly Snyder表示，入侵者通过使用第三方供应商的被盗凭证获得了系统的访问权限。安全博客作者Brian Krebs，其网站 krebsonsecurity.com 首先报道了 Target被黑客攻击的消息，他报道说该供应商是一家位于匹兹堡附近的制冷和供暖公司，名为Fazio Mechanical Services。Fazio网站上的一份声明表示，其IT系统和安全措施符合行业惯例，与Target的数据连接纯粹用于账单、合同提交和项目管理。Target的系统，像任何标准的企业网络一样，是分段的，以便将最敏感的部分——包括客户支付和个人数据——与网络的其他部分，尤其是开放的互联网隔离开来。显然，Target的防护墙存在漏洞。黑客的恶意软件以BladeLogic的名义伪装，可能是为了模仿数据中心管理产品中的一个组件，依据 Dell SecureWorks 的报告。（SecureWorks是许多网络安全公司之一，他们获得了Target的恶意软件，该恶意软件在各种网站上公开，供研究人员帮助其他公司抵御类似攻击。）换句话说，黑客用合法软件的名称掩盖了他们的恶意代码，这些合法软件被公司用来保护持卡人和支付数据。

一旦他们的恶意软件在11月30日成功植入——数据实际上是在12月2日才开始从Target的网络中流出——黑客几乎有两周的时间可以不受干扰地掠夺信用卡号码。根据SecureWorks的说法，这种恶意软件被设计为自动将数据发送到三个不同的美国中转点，仅在中部标准时间上午10点到下午6点之间工作。这显然是为了确保外发数据能够淹没在正常工作时间的流量中。从那里，卡信息被发送到莫斯科。以色列安全公司Seculert能够分析黑客在一个美国中转点的活动，显示他们最终将存储在那里11GB的数据转移到一个名为vpsville.ru的莫斯科托管服务。vpsville.ru的发言人亚历山大·基瓦表示，该公司有太多客户，无法有效监控他们，并且截至2月份尚未收到美国调查人员的联系。

如果Target的安全团队在最早的FireEye警报后进行了跟进，他们本可以紧随黑客的逃跑路径。根据安全公司AlienVault Labs的研究员哈梅·布拉斯科的说法，恶意软件在代码中嵌入了盗贼中转服务器的用户名和密码。Target的安全团队本可以登录到位于弗吉尼亚州阿什本、犹他州普罗沃和洛杉矶的服务器，并看到被盗数据静静地等待黑客的每日提取。但当公司调查人员弄清楚这一点时，数据早已不翼而飞。

照片由乔·雷德尔/Getty Images提供根据国会证词，联邦执法官员在12月12日联系了Target关于此次泄露事件。首席执行官斯坦哈费尔表示，公司花了三天时间确认这一点。然而，执法部门不仅仅依靠欺诈性收费的报告：他们获得了实际被盗的数据，黑客不小心将其留在了他们的转储服务器上，根据一位熟悉联邦调查的人士的说法。

恶意软件代码的核心提供了一些引人注目的线索。其中一个密码是 Crysis1089。这恰好是一个 Xbox 玩家使用的昵称。（截至 3 月 10 日，他在 Xbox Live 全球排行榜上的排名是 11,450,001。）这似乎也指的是 1989 年 10 月乌克兰独立和苏联解体前的大规模抗议活动的日期。

在外泄代码中还有另一个名字：Rescator。这个别名是指 1967 年法国电影 不可驯服的安吉丽克 中的一个海盗，属于一位在被盗信用卡号码方面非常活跃的乌克兰贩子。Rescator 运营着几个在线卡号网站——例如 cheapdumps.org 和 Lampeduza.la——这些网站使用老挝、索马里和前苏联等国家的域名。Rescator 并不是唯一一个推销被盗 Target 数据的转售商，但根据 Krebs 和其他几位安全调查员的说法，他是最活跃的，显然在黑海港口敖德萨肆无忌惮地运营。 敖德萨是俄语世界的 Tortuga，自沙皇时代以来就因其成为黑帮、骗子和海盗的聚集地而臭名昭著。今天，它是“卡片贼”的避风港。根据美国特勤局的说法，在信用卡盗窃的一个里程碑事件中，一群讲俄语的黑客在 2001 年 5 月成立了一个名为 Carderplanet 的数字犯罪 syndicate，在接下来的几年里在敖德萨举行年度会议。Carderplanet 成长为全球最大的被盗卡数据在线市场，拥有超过 6,000 名成员，其中许多人是通过一项承诺“卡片——信用卡——将让你致富！”的在线广告活动招募的。

美国司法部与欧洲执法机构合作，在2000年代中期关闭了Carderplanet。这样做只是将敖德萨的卡片交易场景转入地下。如今卡片操作的首脑“从不见面，他们从不知彼此的名字，”敖德萨黑客社区的院长之一伊利亚·扎多罗日科说，他目前以网络专家的身份在一家荷兰IT集团合法谋生。“只有私人消息，严格匿名。”

还有一些假名，比如Rescator。在俄罗斯黑客的在线论坛vor.cc上，Rescator表示他也曾使用过绰号Helkern。Helkern在网上发布的照片、电子邮件地址和其他细节显示，他是来自敖德萨的22岁青年安德烈·霍迪列夫斯基。Netpeak的内部博客，安德烈曾在这家敖德萨营销公司工作，证实他使用过绰号Helkern。在一个名为Darklife的网站上发布的Helkern照片，被Netpeak的首席执行官确认是霍迪列夫斯基。

尽管如此，仍然没有确凿的证据表明Rescator和霍迪列夫斯基是同一个人。首次披露Target黑客事件的安全博客作者克雷布斯报告说，当他向Rescator的一个地址发送即时消息，询问“Rescator即安德烈”时，收到了一个人问他为什么想联系那个人的回复。后来，他收到了来自Rescator地址的消息，向他提供1万美元以换取不发表他的文章，该文章将Rescator确定为霍迪列夫斯基。美国特勤局网络犯罪部门发言人布莱恩·利里特工表示，该机构无法评论是否正在调查Rescator的身份或是否将该卡片网站与特定个人联系起来。

有证据表明，Khodyrevskiy 是一名黑客，如果不是一名成熟的黑客的话。2011年2月的一个早晨，用户们发现流行的敖德萨网络门户网站 Odesskiy Forum 上充满了错误信息。管理员迅速确定黑客在网站上植入了恶意软件，并窃取了190,000名用户的电子邮件地址。入侵很简单，因为管理员的密码在一个很少使用的部分被公开显示——“这是一个可怕的错误，”网站所有者 Dmitriy Kozin 说。尽管如此，仍然很难理解为什么有人会想要黑一个提供地方新闻、类似 Craigslist 的广告以及从哲学到宠物美容等各种讨论组的网站——而且不存储任何财务数据或其他敏感信息。

Odesskiy Forum 的黑客搞砸了：他将被盗的电子邮件地址流式传输到一个容量不足以容纳所有数据的代理服务器。一些数据溢出到黑客自己的计算机，暴露了他的 IP 地址。Kozin 报告了乌克兰安全警察，几天内他们就逮捕了 Khodyrevskiy。他被定罪并获得三年缓刑。Kozin 认为，这个笨拙的小型黑客很难相信能够策划一起最大的信用卡盗窃案。“他真的很无能，完全不专业，”他说。

在被捕之前，Khodyrevskiy 在 Netpeak 担任程序员。创始人兼首席执行官 Artyom Borodatyuk 回忆说，Khodyrevskiy 是“一个有纪律问题的有才华的程序员”，不可靠且经常迟到。当警察在2011年初突袭现场并表示他们在寻找一名黑客时，他说：“我立刻想到了安德烈。”Borodatyuk 在警察带走 Khodyrevskiy 后解雇了他，并表示他与这位前员工没有进一步的联系。

彭博商业周刊 无法联系到Khodyrevskiy。发送到他使用过的电子邮件和即时消息的地址都被退回或没有回复。他之前使用的手机已被断开。位于市中心的Ghost.ua地址上没有他的踪迹，这是一家他曾经营过一段时间的网络托管公司。

四位熟悉Target调查的顾问表示，Rescator很可能是Target恶意软件的作者。“Rescator”这个词意外地出现在Target代码中：这是编译代码的计算机的主目录名称。对于改过自新的黑客Zadorozhko来说，别名出现在Target恶意软件中表明Rescator充其量只是操作中的一个低级“猴子”，只是被给予了被盗卡片的区块进行销售。“没有人会做这么愚蠢的事情，把自己的名字放在那里，”他说。

这意味着，拥有Rescator技能的人不太可能单独行动。现代计算机犯罪通常是团体行为，由不同能力的团伙成员共同实施。在最近的国会证词中，负责秘密服务网络犯罪调查部门的副特别探员William Noonan将其比作电影十一罗汉。将这个比喻应用于Target黑客事件，Rescator可能是乔治·克鲁尼——招募其他拥有真正技能的罪犯的首脑。调查人员表示，Rescator编写了代码，然后与一组更专业的黑客合作，突破网络并移除数据。他所合作的团队相对较新，他们使用的服务器网络以及其他线索将他们与过去两年中的至少六起数据盗窃事件联系在一起，调查人员说。

Rescator的旗舰网站用于出售非法信用卡号码，Rescator.so，简洁明了——没有标志，没有背景图片，完全是业务，且极其用户友好。购物者可以购买单个卡号或成千上万地购买以获得批量折扣。下拉菜单按地理区域、银行和卡的类型（ATM、美国运通蓝卡、Visa等）进行筛选。您还可以按到期日期、最后四位数字和城市进行筛选。最后一个功能尤其令人印象深刻，前秘密特工电子犯罪特别小组成员马克·兰特曼（Mark Lanterman）说，他现在在明尼苏达州明尼通卡经营自己的数字取证公司，计算机取证服务。“欺诈者想要购买他们居住地区的信用卡，”他说，以破坏银行的欺诈监控。如果一个与新泽西州账单地址关联的卡号突然出现在斯德哥尔摩，那就是一个红旗。

兰特曼说，十年前，在Carderplanet时代，像Rescator这样的网站是公开的。现在您必须申请凭证。兰特曼是在黑市论坛上潜伏后获得他的凭证，建立了自己的存在感和作为卡片地下世界参与者的形象。“你只是在那儿闲逛，”他说。“最终他们就会认为你和他们是同类的流氓，然后说，‘没错，这里是你的登录信息。’”

Rescator可能就像乔治·克鲁尼在十一罗汉中——招募其他具有真正技能的罪犯的首脑。他编写了代码，然后与一组更专业的黑客合作以移除数据

坐在他的会议室里，兰特曼在他笔记本电脑的浏览器上打开Rescator.so，并展示了一个出售卡片的下拉菜单。他输入城镇和城市。对于明尼通卡，距离塔吉特总部约12英里，人口为51,000，有7,000张卡片出售。对于另一个明尼阿波利斯的郊区，普利茅斯，人口73,000，有5,335张卡片可用。阿肯色州费耶特维尔：3,685。康涅狄格州托灵顿：5,115。这些卡片的价格从每张6美元的预付礼品卡到近200美元的美国运通白金卡不等，Rescator接受比特币和西联汇款的付款。根据网站的更换政策页面，退货期——以防某些卡片无法使用——为六小时，该页面以俄语和英语打印，以提供更好的客户服务。在六小时过去之前，盗贼可以将被盗号码打印在伪造的卡片上，并在商店或在线进行大量购买，通常以易于转化为现金的礼品卡形式。最终，一家银行察觉到欺诈行为并冻结了卡片。对于盗贼来说，接下来就是下一个目标。 塔吉特在12月19日早上6点的新闻稿中首次公开确认了这一泄露事件。23岁的IT招聘人员凯莉·沃佩乔斯基在密尔沃基，已经知道出了问题。她的银行通知她，有人在俄罗斯用她的卡消费了900美元，购买了一家“石油公司”的产品。塔吉特一直是沃佩乔斯基的首选商店，但她说自那以后只去过两次。

那天晚上，海军的杰米·多伊尔在弗吉尼亚州切萨皮克的船上值夜班时，收到了海军联邦信用社的欺诈警报。他的妻子特雷西，一名学校语言病理学家，第二天早上检查发现他们的借记卡已经被清空，待处理的费用超过600美元。“我们实际上是去买我们的圣诞晚餐，但我们没有钱，”她说。几乎从不在塔吉特购物的杰米，在黑色星期五时用他的借记卡在切萨皮克的一家商店买了价值5美元的杂货。特雷西说，随后卡号被盗贼在马里兰州埃利科特市的塔吉特商店使用。她指责零售商未能更仔细地检查欺诈用户结账时的费用。她想知道，为什么收银员不要求出示身份证以验证持卡人。特雷西说，银行在两天内将钱退回给多伊尔夫妇的账户。她不再在塔吉特购物。

照片由艾伦·弗雷德里克森/路透社/科尔比斯提供愤怒已经蔓延到国会，公司的官员，包括首席财务官约翰·穆利根，已于二月份被召唤作证。众议院监督与政府改革委员会本周从Target收到了与高管们所知及何时知晓相关的文件，现在将寻求与彭博商业周刊的报道相关的额外材料，弗雷德里克·希尔，美国众议员达雷尔·伊萨的发言人表示，该委员会的主席。“监督委员会已询问Target何时将提供与11月30日事件相关的文件，”希尔说。主要银行和商店连锁相互指责，因多年未能采用更安全的技术，该技术使用嵌入式芯片的卡片。这种卡片在欧洲已经很普遍，比磁条卡更难伪造。Target的高管们——首席信息官贝丝·雅各布于3月5日辞职——承诺他们的公司将帮助引领这一过渡；他们在二月份宣布将花费1亿美元用于读取新卡的收银机和其他技术。其股票交易接近61美元，自披露黑客事件以来几乎没有变化。FireEye的股票已经翻倍，约为80美元。

在三月初的某个时候，有人闯入Rescator.so，窃取了卡片持有者的登录信息、密码和支付信息，然后将数据发布到网上。克雷布斯表示，目前尚不清楚是谁实施了这次黑客攻击，但看起来是想要关闭该操作的人，可能是义警或竞争对手。