Magecart Hacker Group trafia na 17 000 domen i liczy


Nie możesz rozpoznaj nazwę Magecart, ale zauważyłeś jej wpływ. Zestaw wyrafinowanych grup hakerskich, Magecart stał za niektórymi większymi hakami z ostatnich kilku lat, od British Airways do Ticketmaster, a wszystko to w celu kradzieży numerów kart kredytowych. Pomyśl o nich jako odpieniaczach ATM w sieci. Dzięki słabej higienie bezpieczeństwa udało im się trafić w 17 000 domen tylko w ciągu ostatnich kilku miesięcy.

Nowy raport firmy RiskIQ z wykrywania zagrożeń przedstawia, w jaki sposób hakerzy Magecart znaleźli sposób na skanowanie segmentów Amazon S3 – repozytoriów w chmurze, które przechowują dane i inne potrzeby zaplecza dla witryn i firm – dla osób, które są źle skonfigurowane, aby umożliwić każdemu posiadaczowi konta Amazon Web Services nie tylko czytać ich zawartość, ale pisać do nich, wdrażając wszelkie zmiany, których chcą. Na przykład wstawianie kodu kradnącego numery kart kredytowych z witryn e-commerce.

Hack

RiskIQ śledził działalność już na początku kwietnia; po raz pierwszy zauważyła tę technikę po obejrzeniu kilku kompanii łańcucha dostaw w maju. Zamiast typowych ataków ukierunkowanych, które grupy Magecart wprowadziły w przeszłości, okazało się, że są one częścią nowej techniki „spray and pray”. Hakerzy Magecart rzucali najszerszą możliwą sieć, zmieniając kod niezliczonych witryn, które w ogóle nie miały funkcji e-commerce, w nadziei na złapanie wystarczającej liczby stron, które przetwarzają karty kredytowe, aby uczynić swoje wysiłki opłacalnymi.

„Nadal trwa proces rozmawiania w tej chwili”, mówi Yonathan Klijnsma, badacz zagrożeń RiskIQ. „Wszyscy ci faceci po prostu masowo próbują znaleźć wiadra S3, które zostały źle skonfigurowane. A ich odpieniacze są wszędzie. ”

W szczególności, gdy hakerzy znajdą prawidłowo źle skonfigurowane wiadro S3, uruchamiają skanowanie w celu zidentyfikowania wszelkich plików JavaScript. Ponieważ uprawnienia wiadra pozwalają każdemu napisać do niego kod, atakujący po prostu dołączają do pliku złośliwe oprogramowanie Magecart, a następnie zastępują skrypt, który tam był. Wyobraź sobie, że bank zostawiłby niezbywalne instrukcje swoim kasjerom na tablicy. Jeśli masz kredę i możesz znaleźć mały pokój, możesz sprawić wiele kłopotów.

Kogo dotyczy?

To bardziej skomplikowane pytanie niż się wydaje. Najprostszą odpowiedzią jest: 17 000 domen i liczenie, w tym, jak mówi RiskIQ, niektóre z 2000 największych witryn na świecie.

Jednak wiele z tych witryn w ogóle nie przetwarza transakcji kartą kredytową, co powoduje, że kod Magecart jest dyskusyjny. Nie jest również jasne, ile rzeczywistych segmentów S3 ma wpływ, ponieważ wiele domen może połączyć się z tym samym. Tak więc rzeczywista odpowiedź, ta, która ma znaczenie, znajduje się w centrum diagramu Venna utworzonego przez „domeny połączone z agresywnie źle skonfigurowanymi wiadrami S3” i „domeny przetwarzające płatności kartą kredytową”. za coś na jednej z tych stron, zanim atak zostanie rozwiązany.

Co może chwilę potrwać. RiskIQ współpracuje z Amazonem, aby zaalarmować dotkniętych administratorów o ich ujawnieniu, ale spór z 17 000 domen wymaga czasu. Podobnie jak dokonywanie niezbędnych korekt zaplecza.

Jak to jest złe?

Kwestia zainfekowanych witryn e-commerce, jakkolwiek jest ich wiele, będzie miała oczywiste konsekwencje. Ale większy problem wynika z samej metody ataku.

Segmenty Amazon S3 są domyślnie bezpieczne. Firmy wpadają w kłopoty, gdy aktywnie zmieniają te uprawnienia, albo gdzieś w procesie rozwoju, albo gdy przekazują pracę w chmurze zewnętrznemu kontrahentowi. Te błędne konfiguracje łyżki Amazon S3 spowodowały już wiele problemów. Opad ten był jednak zwykle ograniczony do ujawnienia danych osobowych, ogromnych baz danych nazw użytkowników i haseł oraz urodzin i numerów PESEL, które można sprzedać lub za darmo, w ciemnej sieci i gdzie indziej. To dlatego, że te głupki zazwyczaj dają czytać pozwolenie na intruzów, ale nie na zdolność pisać kod. Hakerzy Magecart wymyślili sposób skanowania w poszukiwaniu błędnych konfiguracji, które wykonują obie te czynności – a teraz znają 17 000 podatnych domen.

„To zupełnie nowy poziom błędnej konfiguracji”, mówi Klijnsma. „Te wiadra są w znacznej mierze własnością każdego, kto z nimi rozmawia, co ma inną skalę, inny rodzaj wycieku danych. Prawie każdy może zrobić wszystko w tych wiadrach S3, a zasięg tych jest dość duży. ”

Hakerzy Magecart koncentrują się na osobności: przeglądanie kart kredytowych. Ale nie trudno wyobrazić sobie grupę, która uważa się za większą, a przynajmniej bardziej anarchistyczną. Dzięki tej samej technice można dołączać różnego rodzaju złośliwe oprogramowanie do tych samych witryn.

Amazon opracował narzędzia, które pomagają klientom w chmurze uprzedzić ten typ ataku, w tym opcję „blokowania publicznego dostępu”, która została uruchomiona jesienią ubiegłego roku. Dostosuj to ustawienie, a problem zniknie. Ale wyraźnie, ewidentnie, tysiące domen nadal nie zablokowało swojej infrastruktury, co może mieć katastrofalne konsekwencje.

„Wydaje się, że nikt tego nie zauważył”, mówi Klijnsma, „i to wciąż trwa w tak szalonym tempie”.


Więcej świetnych opowiadań