Skupina Magecart Hacker doseže 17.000 domen in prešteje


Morda ne prepoznate ime Magecart, vendar ste videli njegov vpliv. Skupina sofisticiranih hekerskih skupin, Magecart je zaostajala za nekaterimi večjimi hekerji zadnjih let, od British Airwaysa do Ticketmasterja, vse z edinstvenim ciljem kraje številk kreditnih kartic. Pomislite na njih kot na ATM skimmerje na spletu. In zaradi slabe higienske varnosti so v zadnjih nekaj mesecih uspeli doseči 17.000 domen.

Novo poročilo podjetja za zaznavanje groženj RiskIQ podrobno opisuje, kako so hekerji Magecart našli način za skeniranje podatkovnih zbirk Amazon S3 – shramb v oblaku, ki vsebujejo podatke in druge potrebščine v ozadju za spletna mesta in podjetja – za vse, ki so napačno konfigurirani, da omogočijo vsakomur, ki ima račun Amazon Web Services da ne samo preberete njihove vsebine, temveč jim pišete in izvedete kakršne koli spremembe, ki jih želijo. Kot, recimo, vstavljanje kode, ki krade številke kreditnih kartic iz e-trgovin.

Hack

RiskIQ je to dejavnost spremljal že v začetku aprila; prvič je opazil tehniko, ko je v mesecu maju prišlo do ogrožanja številnih podjetij za dobavno verigo na internetu. Namesto običajnih ciljnih napadov, ki so jih v preteklosti izvedle skupine Magecart, se je izkazalo, da so ti del nove tehnike "pršenja in molitve". Magecartovi hekerji so oddajali najširšo možno mrežo in spremenili kodo neštetih mest, ki sploh niso imeli nobene funkcije elektronskega trgovanja, v upanju, da bodo ujeli dovolj spletnih mest, ki bodo obdelovali kreditne kartice, da bi bila njihova prizadevanja smiselna.

"Trenutno govorimo še vedno," pravi Yonathan Klijnsma, raziskovalec grožnje RiskIQ. “Vsi ti fantje počnejo samo maso in poskušajo najti S3 vedra, ki so bila napačno nastavljena. In njihovi skimmerji postajajo povsod. "

Natančneje, ko hekerji najdejo pravilno napačno nastavljeno vedro S3, izvedejo skeniranje, da prepoznajo datoteke JavaScript. Ker dovoljenja vedenja dovoljujejo vsakomur, da napiše kodo, napadalci preprosto pripnejo svojo Magecart zlonamerno programsko opremo na datoteko, nato pa prepišejo skript, ki je bil tam. Predstavljajte si, da bi banka banki na tablo pustila nesporna navodila. Če imate tudi kredo in lahko najdete malo prostora, lahko povzročite veliko težav.

Kdo je prizadet?

To je bolj zapleteno vprašanje, kot se sliši. Najlažji odgovor je: 17.000 domen in štetje, vključno z, RiskIQ pravi, nekateri, ki so med 2000 največjih mest na svetu.

Toda veliko teh mest sploh ne obdeluje transakcij s kreditnimi karticami, zaradi česar je koda Magecart sporno. Prav tako ni jasno, koliko dejanskih segmentov S3 vpliva, ker lahko več domen poveže z isto. Torej dejanski odgovor, tisti, ki je pomemben, leži v središču diagrama Venn, ki ga sestavljajo »domene, povezane z agresivno konfiguriranimi segmenti S3« in »domene, ki obdelujejo plačila s kreditnimi karticami«. za nekaj na teh mestih, preden je napad rešen.

Kar bi lahko trajalo nekaj časa. RiskIQ sodeluje z Amazonom, da opozori prizadete administratorje na njihovo izpostavljenost, vendar pa je zaradi 17.000 domen potreben čas. Enako velja za potrebne prilagoditve v ozadju.

Kako slabo je to?

Vprašanje ogroženih spletnih strani e-trgovanja, pa čeprav jih je veliko, bo imelo očitne posledice. Toda večji problem izhaja iz samega načina napada.

Vedno so varnostne vedre Amazon S3 varne. Podjetja se soočajo s težavami, ko aktivno spremenijo ta dovoljenja, bodisi nekje v razvojnem procesu ali ko oddajo delo v oblaku tretjemu izvajalcu. Te napačne konfiguracije vedra Amazon S3 so že povzročile veliko težav. Čeprav so bile posledice običajno omejene na izpostavljenost osebnih podatkov, ogromne podatkovne baze uporabniških imen in gesel ter rojstne dneve in številke socialnega zavarovanja, ki so se končale za prodajo ali brezplačno, na temnem spletnem mestu in drugje. To je zato, ker ti ljudje običajno dajejo preberite dovoljenje za posrednike, ne pa tudi sposobnost napisati Koda. Magecartovi hekerji so odkrili način za iskanje napačnih konfiguracij, ki delajo oboje – in zdaj poznajo 17.000 ranljivih domen.

»To je povsem nova raven napačne konfiguracije,« pravi Klijnsma. »Te žlice so v veliki meri v lasti vsakogar, ki z njim pogovarja, kar je v drugačnem obsegu, drugačna vrsta uhajanja podatkov. Precej kdorkoli lahko karkoli naredi v tistih vedrih S3, njihov doseg pa je precej velik. "

Magecart hekerji imajo edinstven fokus: posnemanje s kreditnimi karticami. Vendar si ni težko predstavljati skupine, ki misli, da je večja ali vsaj bolj anarhična. Z isto tehniko lahko na iste strani dodate vse vrste zlonamerne programske opreme.

Amazon je razvil orodja, s katerimi svojim strankam v oblaku pomaga preprečiti tovrstne napade, vključno z možnostjo blokiranja javnega dostopa z enim klikom, ki se je pojavila prejšnjo jesen. Nastavite to nastavitev in ta problem izgine. Toda jasno je, da na tisoče področij še vedno ni zaprlo njihove infrastrukture, s potencialno uničujočimi posledicami.

"Zdi se, da tega nihče ni opazil," pravi Klijnsma, "in še vedno se dogaja na tako nori stopnji."


Več Great WIRED Stories