Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties

Beveiligingsonderzoekers van RSA hebben op apparatuur waarop creditcardbetalingen worden verwerkt de zogenaamde ChewBacca-trojan gevonden. De malware doorzoekt het werkgeheugen naar bepaalde patronen en is voorzien van keylogging-functionaliteit.

De geheugenscanner van de ChewBacca-trojan maakt een kopie van het werkgeheugen en doorzoekt met behulp van reguliere expressies naar data die afkomstig lijkt van de magneetstrip van een creditcard. Als een creditcardnummer wordt gevonden wordt deze naar een centrale server gestuurd en opgeslagen.

Het versturen van de door ChewBacca buitgemaakte data verloopt via het Tor-netwerk. Hierdoor proberen de cybercriminelen het ip-adres van de command and control-server te verhullen. De server was alleen bereikbaar via een .onion-adres. De ChewBacca-malware vermomt zich volgens de RSA als spoolsv.exe, het bestand voor de Windows Print Spooler. Door dit bestand te wissen zou een systeem ontsmet zijn.

De server-backend van de ChewBacca-malware geeft een crimineel een eenvoudige webinterface tot de buitgemaakte data en het botnet, zo meldt RSA verder. Een beheerder van het botnet zou door het beveiligingsbedrijf tot een land in Oost-Europa zijn getraceerd totdat deze verdween in de anonimiteit van het Tor-netwerk. De FBI zou, na informatie van RSA te hebben gekregen, een server van de cybercriminelen hebben kunnen uitschakelen.

RSA stelt dat de ChewBacca-trojan ondanks zijn simpele opbouw en functionaliteit de afgelopen maanden zeer succesvol is gebleken in het stelen van creditcarddata bij tal van bedrijven in elf landen. Volgens Reuters zou het gaan om meer dan 49.000 creditcardgegevens die zijn gekopieerd. Ook zouden meer dan 24 miljoen transactiegegevens zijn ingezien. Het beveiligingsbedrijf adviseert bedrijven om hun betaalsystemen van betere encryptie te voorzien en om betere monitoringsoftware te installeren.

ChewBacca server-inlogpagina

Moderatie-faq Wijzig weergave

Reacties (20)

Wat ik niet terugvind is hoe die malware op al die kassa's is geplaatst. Het lijkt me stug dat die allemaal handmatig konden worden afgelopen zonder dat iemand het merkte. Dat vereist dan hulp van beveiligingspersoneel dat de hackers toeliet. Of de malware is gepusht vanaf een server, maar dat lees ik nergens. Een kassière kan toch moeilijk via internet een trojan hebben gedownload terwijl ze aan het werk was.
Waarschijnlijk net als bij de Target hack een semi-inside job. Zowel de soort software als zeker de logistieke manier van inzetten vereist diepgaande kennis van de kassa-systemen. Simpelweg de enorme landoppervlakte van Amerika en geografische spreiding van de getrofen winkels (door het hele land) maakt dat dit onmogelijk handmatig per winkel gedaan kan zijn.

Dus iemand die werkt bij de leverancier of aanverwant bedrijf (zeg maar het equivalent van InterPay bij ons) is een logische gedachte.

Kan ook iemand bij die bedrijven zelf zijn geweest, maar omdat er nu al een aantal besmettingen zijn bij verschillende bedrijven op dezelfde wijze, duidt dat op ietsje hoger in de keten, of op zijn minst op een coordinatie daarbuiten.

Vandaar ook dat men niet te scheutig met informatie is bij de autoriteiten want men wil natuurlijk het hele netwerk oprollen.
Trouwens: ook vanwege de gelijkaardige argumenten die jij hier aanhaalt, is het stemmen per stemmachine ook uitermate af te raden. En ronduit een gevaar voor de democratie.
Eenieder die dat ontkent, weet simpelweg niet genoeg van de materie.
Gelukkig zijn daar ook geen plannen meer voor, toch? Alleen voor stemprinters, en dat is een stuk beter. Dan worden de geprinte stemmen snel geteld met machines, en daarna nageteld met de hand.
Waarom zou dit niet kunnen? De kassa pc's bij ons zijn Windows XP toestellen... en met internettoegang. Meer moet ik niet zeggen zeker?
Meer moet je juist wel zeggen.

Waarom is een kassa een 'Windows XP toestel'?
Dat lijkt me nogal een overkill voor een veredelde rekenmachine met een weegschaal.

En wat moet een kassa met interent? Meer dan een dedicated lijntje voor de pintransacties en updaten van assortiment en prijzen is toch niet nodig.

[Reactie gewijzigd door Kalief op 31 januari 2014 20:39]

Waarschijnlijk betreft het hier Windows XP Embedded.

Edit: linkje toegevoegd.

[Reactie gewijzigd door drdelta op 31 januari 2014 22:28]

Dat lijkt me nogal een overkill voor een veredelde rekenmachine met een weegschaal.
Wat maakt 't uit of dat overkill is? Feit is dat er zulke kassa's bestaan.
Een oude PC met XP kan ook wel eens een stuk goedkoper zijn dan een kant-en-klare-dedicated-kassa aanschaffen.
Afgezien daarvan, is 't natuurlijk niet slim om uberhaupt Windows te gebruiken voor kassa's. Er bestaat immers geen Windows-versie zonder tientallen lekken.
En trouwens, lang niet alle kassa's hebben een weegschaal. Wat moet bijv. een computerwinkel met een weegschaal? :)

[Reactie gewijzigd door kimborntobewild op 1 februari 2014 07:07]

Wat ik niet terugvind is hoe die malware op al die kassa's is geplaatst. Het lijkt me stug dat die allemaal handmatig konden worden afgelopen zonder dat iemand het merkte. Dat vereist dan hulp van beveiligingspersoneel dat de hackers toeliet. Of de malware is gepusht vanaf een server, maar dat lees ik nergens. Een kassière kan toch moeilijk via internet een trojan hebben gedownload terwijl ze aan het werk was.
Via zero-day exploits in het OS?
het is niet ongebruikelijk dat personeel op een pos kunnen internetten.
Of het slim is een tweede, maar ongebruikelijk is het niet.
Wat ik niet terugvind is hoe die malware op al die kassa's is geplaatst.
Men breekt bij de winkel in, veroorzaakt verder geen schade zodat er ook verder niet wordt nagedacht over eventuele geplaatste trojans, en plaatst dan dus inderdaad tijdens die inbraak de trojan. Heeft al meerdere keren in de media gestaan :).
stug
Uw hersens zijn dus te stug :).
Vergeet niet, langs één kassa gaan tienduizenden mensen.
Er staat toch niet specifiek dat het om kassa's gaat? Er wordt gesproken over apparatuur die creditcard betalingen verwerkt. Dat zijn imho ook allerlei tussenliggende systemen. Wellicht zelfs bij de cc-maatschappijen zelf...
Ja maar Chewie was co-piloot en helemaal niet handig met dingen op te sporen :P Daarentegen voor iemand genaamd Han Solo deed hij het wel goed in een Duo
Chewie was wel diegene die alle shit kon fixen. ;)
Moet toch denken aan het hele NSA 'incident' zodra ik las dat het RSA was...
(De backdoor die RSA in een algoritme had die door de NSA was ontwikkeld...)
Kan de FBI die server niet gewoon spammen met willekeurige data om de echte data te verstoppen? :P
Het is daarom op zijn minst opvallend dat juist het afluisterende NSA niet met dergelijke berichten komt. Zij waren tenslotte in het leven geroepen om allerlei vormen van terrorisme op te sporen en aan te pakken. In mijn beleving hoort daar dan ook het stelen van user data bij, omdat er, voglens de terrorisme bestrijders, ook gebruik wordt gemaakt van gestolen persoonsinformatie. .
Blijkt des te meer wat het echte doel van de NSA is, namelijk de US of A voordeel geven ten opzichte van de rest van de wereld op alle vlakken.
Af en toe een bommetje is (macro) economisch toch niet interessant. Onrust zaaien en oorlog (creëren) daarentegen wel.

P.S. Misschien wat te sarcastisch geschreven, maar ach.

[Reactie gewijzigd door wjn op 31 januari 2014 21:16]

Beveiligingsonderzoekers van RSA hebben op apparatuur waarop creditcardbetalingen worden verwerkt de zogenaamde ChewBacca-trojan gevonden.
Wees eerlijker en zeg gewoon dat er malware is gezet (of is terecht gekomen, misschien ook wel op afstand) op Windows computers.
Bijv:
Beveiligingsonderzoekers van RSA hebben op computers waar Windows op staat, en waarop creditcardbetalingen worden verwerkt, de zogenaamde ChewBacca-malware gevonden.
Het een trojan (of het nu in eerste instantie door een AV-company nu een trojan is gedubbed of niet) noemen in deze context, is misleidend want die naam wijst erop dat er iets (anbders) met opzet door een nietsvermoedend persoon is geïnstalleerd en dat daarbij de malware is meegekomen. En dat is niet de manier waarop deze malware op de PC's terecht komt.
En ja, als het een Linux- of Apple-computer was, dan mag je dat ook eerlijk vermelden.

[Reactie gewijzigd door kimborntobewild op 1 februari 2014 07:14]

het lijkt erop dat tegenwoordig alles al lang en breed gehackt is.
RSA maakt zelf backdoors.... ze zijn daarin marktleider, geen enkel bedrijf/individu heeft meer geïnstalleerde backdoors als RSA.

De vraag is of er überhaupt een RSA encryptie is die GEEN voor hen bekende zwakte heeft.

Bij coca cola zijn er maar een aantal mensen die het recept kennen, bij RSA wellicht nog minder.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True