Hacker di sebalik pelanggaran Data British Airways yang mendedahkan

Computer Security News

Pakar keselamatan pada RiskIQ melaporkan bahawa hacker di sebalik pelanggaran data British Airways semalam adalah geng jenayah MageCart.

MageCart telah aktif sejak sekurang-kurangnya tahun 2015 dan dapat menjejaskan banyak laman-laman web e-dagang untuk mencuri kad bayaran dan lain-lain data yang sensitif.

Geng siber beroperasi dengan menyuntik skimmer skrip di laman web sasaran untuk menyedut data kad pembayaran, dan sebaik sahaja Laman web boleh terjejas, ia menambah sekeping terbenam Javascript ke HTML template.

Skrip jahat yang dipanggil MagentoCore dan rekod ketukan kekunci daripada pelanggan-pelanggan dan menghantar mereka kepada pelayan yang dikawal oleh hacker.

Biasanya, penyerang yang cuba untuk menjejaskan ciri-ciri pihak ketiga yang boleh membolehkan mereka mengakses sejumlah besar laman web.

Pakar-pakar di RiskIQ mendakwa bahawa Kumpulan MageCart melaksanakan serangan yang disasarkan terhadap British Airways menggunakan versi tersuai skrip terus menyamar.

Serangan ini khusus, penjenayah menggunakan infrastruktur yang berdedikasi terhadap syarikat penerbangan.

“Serangan ini merupakan pendekatan mudah tetapi sangat disasarkan berbanding dengan apa yang kita telah melihat dahulu dengan pihak Magecart skimmer yang meraih borang Tariff. Skimmer tertentu ini adalah sangat biasa dengan sistem bagaimana Laman pembayaran British Airway ditubuhkan, yang memberitahu kita bahawa penyerang yang dipertimbangkan dengan teliti bagaimana untuk mensasarkan Laman web ini dan bukannya membuta tuli menyuntik skimmer Magecart yang biasa.” Syarikat analisis RiskIQ.

“Infrastruktur yang digunakan dalam serangan ini ditubuhkan hanya dengan British Airways dalam fikiran dan sengaja menyasarkan skrip yang akan berpadu dengan biasa bayaran pemprosesan untuk mengelakkan pengesanan. Kami nampak bukti ini baways.com nama domain serta path. pelayan drop”

Selepas menganalisis semua skrip dimuatkan oleh laman web ini, para penyelidik Keselamatan mendapati beberapa perubahan di Perpustakaan Modernizr JavaScript, di mana penggodam yang ditambah beberapa baris kod di bawah untuk mengelakkan menyebabkan masalah kepada skrip. Perpustakaan JavaScript kali pada 21 Ogos, 20:49 GMT.

Skrip jahat telah dimuatkan dari halaman maklumat tuntutan ruang di laman web British Airways. Kod yang telah ditambah oleh penjenayah Biar Modernizr menghantar maklumat pembayaran daripada pelanggan terus ke pelayan hacker.

Skrip dibenarkan penyerang untuk mencuri data pengguna dari kedua-dua laman web dan aplikasi mudah alih.

Data yang dicuri dari British Airways telah dihantar dalam bentuk JSON ke pelayan yang dihoskan pada baways.com yang menyerupai domain sah digunakan oleh syarikat penerbangan.

Hacker dibeli untuk Sijil SSL daripada Comodo untuk Elakkan dari menimbulkan syak wasangka.

“Domain yang dihoskan di 89.47.162.248 yang terletak di Romania dan, malah, sebahagian daripada pembekal VPS bernama Time4VPS berpangkalan di Jerman. Pelakon juga dimuatkan dalam pelayan dengan sijil SSL. Menariknya, mereka memutuskan untuk pergi dengan sijil dibayar dari Comodo bukan percuma LetsEncrypt sijil, mungkin untuk membuat ia kelihatan seperti pelayan yang sah.” Pasukan RiskIQ berkata.

Pada masa ini, ianya masih tidak jelas bagaimana geng MageCart telah berjaya menyuntik kod berniat jahat di laman web British Airways.


Leave a Reply

Your email address will not be published. Required fields are marked *