《商業周刊》:美零售業最大規模黑客事件真兇成迷

導讀：去年感恩節前三周美國零售巨頭Target的系統被植入惡意軟件，黑客攻擊手段很平常，預警系統也多次發出預警，但Target疏於應對，最終導致1.1億位顧客信用卡數據被盜的美國零售業最大黑客事件。《商業周刊》最新一期封面文章梳理了Target被黑的來龍去脈，時至今日真兇仍然逍遙法外。

這次黑客對美國零售業歷史上的最大攻擊特別沒有獨創性，而且本應以失敗告終。2013年感恩節前夕，有人在零售巨頭Target的安全系統和支付系統植入惡意軟件，以竊取每一位顧客在全美1797家連鎖店消費的信用卡信息。在收銀員要求顧客刷卡買單的關鍵時刻，惡意軟件抓取顧客的信用卡號碼，將其存入黑客控制的一台Target伺服器。

這些黑客採用的手段很平常，Target早就為這類攻擊做了准備。半年前Target安裝了電腦安全公司FireEye開發的一款價值160萬美元的惡意軟件檢測工具——中央情報局和國防部也是FireEye的客戶。在印度班加羅爾，Target有一個專家團對全天候監控公司的電腦，一旦發現可疑情形將向設在明尼阿波利斯的安全運營中心通報。

11月30日(星期六)，黑客佈置完畢，只需設好數據的逃出路徑即可發動攻擊。當黑客上傳數據滲漏惡意軟件轉移被盜信用卡號碼時被FireEye的檢測軟件發現，班加羅爾得到警報后上報明尼阿波利斯的安全小組。然后……他們什麼也沒做。

不知何故明尼阿波利斯沒有理會警報。本刊採訪了熟悉Target數據安全的該公司十位前員工、了解這次黑客攻擊及其影響的八位專業人士。他們保護零售商與客戶聯繫的預警系統運行完美，但當4000萬信用卡號碼及7000萬顧客住址、電話號碼和其它個人信息從公司主機溢出時，Target卻袖手旁觀。

顧客和銀行向Target提起90多起訴訟，指責其玩忽職守並要求賠償損失。分析師估計損失達數十億美元。Target上季度財報稱截至2月1日為這次數據泄露已花費6100萬美元。公司設立顧客反饋部門，承諾顧客不用為數據泄露導致的任何信用卡盜刷買單以恢復顧客信任。去年感恩節假期Target盈利同比下降46%，交易筆數降幅為2008年公佈該數據以來最大。

Target在接受國會質詢時表示，只是在12月中旬美國司法部告知其數據被盜后公司調查人員才回過頭來分析當時發生了什麼情況。它沒有公佈查看電腦日誌時就發現了從11月30日到12月2日FireEye軟件的多起報警，而12月2日黑客尚未安裝惡意軟件的新版本。不僅這些報警不應該置之不理，而且報警相當及時，當時黑客還未開始從Target的網絡向外傳輸被竊信用卡數據。要是公司的安全團隊做出相應反應，這起涉及1/3美國人的信用卡數據被盜事件就根本不會發生。

Target的反黑客部門主體位於明尼阿波利斯市中心一座大樓六層角落的房間，裏面沒有內開的窗戶，只有上鎖的大門。訪客須按門鈴經過視頻掃描后才可進入。

如果你見過一個安全管理平台(SOC)，你基本上就知道所有的SOC是什麼樣。分析師坐在一排排的屏幕前監控Target上億美元的IT基礎設施。政府機構、大銀行、國防公司、技術公司、移動運營商等有高價值集中大數據的公司常常建立自己的SOC。不過零售商往往沒有。大多數零售商仍然專注於賣東西這一主要任務，部分原因在於它們廣泛的店面網絡和電子零售入口難以鎖定入侵。威瑞森企業解決方案公司研究發現，只有31%的公司通過自己的監控系統發現入侵，而零售公司只有5%，它們就是數字大草原上任由宰割的羚羊。

Target努力使自己與不同。目前公司的信息安全部門員工已超300，自2006年以來增長10倍。大半年前Target又引入FireEye保駕護航。FireEye最初由CIA建立，如今廣為全世界的情報機構所用。

FireEye的品通過在虛擬機上構建一個平行的電腦網絡而發揮作用。數據從互聯網傳輸到Target之前通過FireEye的系統，而黑客工具誤以為自己處於真實的電腦網絡中。FireEye的檢測技術在攻擊發生之前將其識破，然后向客戶報警。與殺毒軟件根據以往的攻擊標注惡意軟件不同，黑客利用新工具或自定義攻擊不容易騙過FireEye。CIA前首席信息安全官對FireEye的方法大加讚賞：“幾年前我們首次利用這種方法時還從未有人想到過。”

據熟悉Target調查情形的人士透露，黑客在11月30日部署自編代碼，FireEye發出發現陌生惡意軟件“malware.binary”的警告。隨后黑客希望盜竊數據發往何處的伺服器地址相關細節很快也被發現。隨黑客植入該惡意軟件的更多版本，FireEye的安全軟件也發出更多警報，每一次都是FireEye分級標準上的最緊急警報。

本來不用人力干預就可阻止這次數據被盜。FireEye的軟件有一旦發現惡意軟件就自動刪除的選項，但兩位調查人員稱Target的安全人員關閉了該功能。使用FireEye品一年多的龐巴迪航空公司首席信息安全官Edward Kiledjian稱這樣做並非不同尋常，因為安全人員通常希望擁有“我該怎麼做”的最后決定權，但這要求安全團隊迅速發現並處理感染電腦。

去年四月Target進行了一個月的FireEye品測試，之后才在公司的大規模IT系統部署。兩位熟悉Target安全運營的人士稱，很可能黑客攻擊時監控人員對FireEye的品仍然有些懷疑。甚至Target的殺毒軟件Symantec Endpoint Protection也在感恩節前后發現可疑行為，涉嫌伺服器與FireEye預警的一致。McAfee部門總監稱黑客所用惡意軟件不複雜，如果Target狠抓網絡安全環境，它本應發現自己網絡上的黑客行為。

Target所犯的安全錯誤不止於此，發言人斯奈德(Molly Snyder)稱黑客利用從第三方供應商偷來的證書進入了公司系統。最先披露Target被黑客攻擊的網絡安全博客寫手Brian Krebs稱該供應商是匹茲堡附近一家名為Fazio Mechanical Services的冰箱與采暖設備公司。Fazio在官網發布的聲明稱其IT系統與安全措施符合行業規範，與Target的數據連接完全是為了做賬、合同提交和項目管理。Target的網絡系統和其它任何標準的公司網絡一樣都做了分割，以便包括客戶支付和個人數據在內的最敏感網絡與其它網絡尤其是互聯網隔。顯然Target的設防存在漏洞。調查Target被黑的網絡安全公司之一Dell SecureWorks報告稱，黑客的惡意軟件命名為BladeLogic，目的可能是裝成Target數據中心管理品的一個組件。也就是黑客把自己的惡意代碼裝成公司用於保護持卡人和支付數據的合法軟件。

一旦他們的惡意軟件在11月30日成功植入，那麼黑客几乎有兩周時間從容盜取信用卡數據。SecureWorks稱惡意軟件設定只在中部時間上午10點到下午6點向三個美國站點發送數據，其目的可能是確保傳輸數據淹沒在上班時間汪洋大海般的數據流量中而難以察覺。被盜信用卡數據從美國發往莫斯科。以色列網絡安全公司Seculert能夠分析其中一個美國站點的黑客活動，它發現該站點最終把存儲的11G數據發到位於莫斯科的vpsville.ru主機服務站點。vpsville.ru發言人表示，公司客戶多無法有效監控其行為。直到今年2月美國調查人員才開始聯繫vpsville.ru。

如果Target的安全部門跟蹤FireEye最早發出的警報，它本可以在黑客逃跑時上將其抓個正。網絡安全公司AlienVault Labs研究員Jaime Blasco表示，惡意軟件中有嵌入代碼中的黑客站點伺服器登錄名和密碼。Target自己本來可以登錄這些伺服器看到儲存在那裏等待黑客每天傳輸的數據。然而等到公司調查人員想到這一點時，數據早已飛走了。

國會的證詞顯示，聯邦執法官員曾在12月12日就信用卡數據被竊一事聯繫Target。CEO斯泰因哈費爾(Gregg Steinhafel)稱公司花了三天時間確認此事。不過政府並非只有盜刷紀錄可供追究，消息人士稱他們獲得了黑客不小心留在棄用伺服器上的失竊數據。

惡意軟件代碼顯示一些有意思的蛛絲馬跡，其中一個伺服器登錄密碼是Crysis1089，恰好就是Xbox游戲全球排名第十的玩家代號。這個密碼似乎還意指1989年10月烏克蘭獨立和蘇聯解體前夕發生的群抗議。

數據滲漏代碼中嵌入的另一個用戶名是Rescator。Rescator本是1967年法國電影Indomptable Anglique中一位海盜的名字，為一位信用卡數據盜竊老手烏克蘭人所採用。Rescator開了cheapdumps.org、Lampeduza.la幾個在信用卡數據交易網站，所用國家域名有寮國、索馬裏、前蘇聯等。Krebs等網絡安全調查員稱，雖然Rescator並非Target失竊數據的唯一倒賣者，但他卻最積極，顯然正安然無恙地在黑海港口敖德薩做他的買賣。

敖德薩是俄語世界的“海盜島”(Tortuga)，自沙皇時代以來便以流氓、騙子和海盜的集散地著稱。今天它是“卡盜者”(Carder)的天堂，2001年5月一群操俄語的黑客成立“卡盜星球”(Carderplanet)黑客社交平台並每年在敖德薩召開年會。Carderplanet已成為全球最大的失竊信用卡數據在市場，會員超過6000名，其中很多通過承諾“倒賣信用卡讓你致富”的網絡廣告片而招聘。

2005年前后在美國司法部和歐洲執法部門的聯合打擊下Carderplanet關閉，然而只不過是讓敖德薩的卡盜進入地下。敖德薩黑客社區前首領、如今改邪歸正在荷蘭一家IT集團擔任網絡專家的Ilya Zadorozhko表示，今日的卡盜首領從不見面，從不知道彼此的姓名，只有完全匿名的私人通信。

也有Rescator之類的假名。Rescator在俄羅斯黑客論壇vor.cc稱自己曾以Helkern的暱稱行事。Helkern在網上發布的照片、電子郵件地址和其它細節顯示其本人是名叫Andrey Khodyrevskiy的22歲敖德薩人。敖德薩市場營銷公司Netpeak內網的一篇博文確認Khodyrevskiy曾使用暱稱Helkern。

然而仍然沒有確切證據表明Rescator就是Khodyrevskiy。Krebs透露，當他向Rescator的一個地址發送一條即時消息要求和“Rescator也就是Andrey”交談時，某人回復問他為何希望聯繫此人。后來他收到Rescator地址發來的信息，給他1萬美元封口費，並稱Rescator就是Khodyrevskiy。

有證據表明Khodyrevskiy是一名黑客——即便不是一位老練的黑客。2011年2月的一個早晨，敖德薩門戶大網站Odesskiy Forum的用戶發現其網頁出錯。管理員迅速斷定黑客在網站植入惡意軟件並盜取了19萬用戶的電子郵件地址。攻破Odesskiy Forum很容易，因為一位管理員的密碼顯示在網站一個很少使用的頁面上。不過難以理解為何有人對黑掉一個充斥列表式廣告的本地新聞網站感興趣，因為該網站沒有任何金融數據或其它敏感信息。

攻擊Odesskiy Forum的黑客搞砸了：他把竊取的電子郵件地址發往一個代理伺服器，但伺服器沒有足夠的能力接收所有數據。一些數據溢出到黑客自己的電腦裏，從而暴露了他的IP地址。Odesskiy Forum老闆Kozin向烏克蘭安全警察報警，不出幾天他們就逮捕了Khodyrevskiy。Khodyrevskiy被判處三年緩刑。Kozin等人難以相信這個三流黑客能夠策劃這起空前的Target信用卡被黑事件。

Khodyrevskiy被捕前是Netpeak公司程序員。Netpeak創始人兼CEO Artyom Borodatyuk回憶道，Khodyrevskiy是一位優秀的程序員，但紀律渙散，上班經常遲到。2011年初警察突然來到Netpeak搜查一位黑客時，Borodatyuk他馬上想到Khodyrevskiy。

本刊想盡各種辦法都無法與Khodyrevskiy取得聯繫。熟悉Target調查的四位諮詢人士認為編寫惡意軟件的很可能就是Rescator。“Rescator”無意中遺留在軟件代碼中，它是代碼編寫所用電腦根目錄的名稱。

這一切意味不可能是具備Rescator黑客技術的人單獨行動。現代電腦犯罪通常是成員能力互補的集體犯罪。Rescator倒賣非法信用卡數據的主要網站Rescator.so風格樸素——沒有標識和背景圖。網名可在此購買個人信用卡號碼，量大從優。

Target在去年12月19日早上六點公開證實被黑，密爾沃基一家IT公司的員工Kelly Warpechowski就知道事情不妙，銀行通知她俄羅斯某人用她的信用卡在一家石油公司刷了900美元。人們的憤怒發泄到國會，包括首席金融官John Mulligan在內的Target公司高管被要求2月份到國會陳辭。議院監管和政府改革委員會上周收到Target關於高管們所作所為的檔案。大銀行和零售連鎖商多年來相互指責對方遲遲不採用更安全的晶片內置技術。這種信用卡如今歐洲已普遍使用，相比磁條信用卡難以造。Target承諾公司將率先推進技術變革，上個月宣佈在新卡讀取技術設備方面投入一億美元。目前Target股價約為61美元，相比披露公司被黑時几乎未變，同期FireEye的股價上漲一倍多至80美元。

3月初有人攻破Rescator.so盜取了登錄名、密碼和卡盜的支付信息，隨后將其公佈在網上。Krebs稱尚不清楚是誰黑了Rescator.so，但似乎是希望打擊Rescator業務的自衛人士或競爭對手所為。(檸楠/編譯)