Σχεδόν 600 διαδικτυακά καταστήματα επιτέθηκαν επιτυχώς από την ίδια ομάδα χάκερ

Μετά από μια μακρά έρευνα, ερευνητές από την Gemini Advisory αποκάλυψαν ότι μια μόνο ομάδα εγκληματιών στον κυβερνοχώρο είναι υπεύθυνη για τις επιτυχείς επιθέσεις εναντίον τουλάχιστον 570 ιστότοπων ηλεκτρονικού εμπορίου που εδρεύουν σε 55 χώρες σε ολόκληρο τον κόσμο. Το πλήρωμα ονομάζεται Keeper, και οι επιθέσεις του συνίστανται σε συμβιβασμό του στόχου και στην έγχυση κακόβουλου κώδικα που εξαλείφει τα στοιχεία της πιστωτικής κάρτας και άλλα προσωπικά στοιχεία κατά τη διαδικασία πληρωμής.

Είναι μια κλασική λειτουργία Magecart και αποδεικνύεται μάλλον επιτυχημένη. Σύμφωνα με τους υπολογισμούς των Gemini, μεταξύ Απριλίου 2017 και σήμερα, η συμμορία Keeper έχει συμβιβαστεί με περίπου 700 χιλιάδες πιστωτικές κάρτες, οι οποίες έχουν μια σκοτεινή αξία αγοράς Ιστού περίπου 7 εκατομμυρίων δολαρίων. Ας δούμε πώς οι ειδικοί κατάφεραν να βγάλουν όλα αυτά τα συμπεράσματα.

Ένας πίνακας σύνδεσης αποκάλυψε ολόκληρη την υποδομή του Keeper

Οι ερευνητές του Gemini ανακάλυψαν τη συμμορία Keeper όταν ακολούθησαν τη διεύθυνση URL αποβολής που χρησιμοποιήθηκε κατά τη διάρκεια μιας επίθεσης στο Magecart. Τους υποδέχτηκαν μια φόρμα σύνδεσης που είχαν δει στο παρελθόν. Ένας πανομοιότυπος πίνακας σύνδεσης είχε χρησιμοποιηθεί σε άλλες επιθέσεις του Magecart και οι ερευνητές γνώριζαν ότι αυτό θα μπορούσε να είναι σημαντικό. Μια περαιτέρω έρευνα αποκάλυψε ότι όλα αυτά τα πάνελ σύνδεσης έδειχναν στον ίδιο αποκλειστικό διακομιστή, ο οποίος επιβεβαίωσε ότι όλες οι επιθέσεις είχαν πραγματοποιηθεί από την ίδια ομάδα χάκερ. Το όνομα "Keeper" προέρχεται από το γεγονός ότι ο τομέας "fileskeeper [.] Org" υπήρξε σημαντικό μέρος της υποδομής της ομάδας.

Keeper - μια τρομερή ομάδα Magecart

Έχοντας εντοπίσει όλους τους προηγούμενους στόχους, οι ερευνητές του Gemini άρχισαν να εξετάζουν τις λεπτομέρειες του modus operandi του Keeper. Η ομάδα στοχεύει κυρίως μικρά, λιγότερο δημοφιλή διαδικτυακά καταστήματα, αν και η λίστα των θυμάτων περιέχει μερικές ιστοσελίδες που έχουν περισσότερους από 500 χιλιάδες μηνιαίους επισκέπτες. Περίπου το 85% των ιστοτόπων που δέχτηκαν επίθεση έχουν δημιουργηθεί με το Magento, κάτι που δεν πρέπει να αποτελεί έκπληξη. Το Magento είναι μια από τις πιο δημοφιλείς πλατφόρμες για τη δημιουργία ιστότοπων ηλεκτρονικού εμπορίου και, όπως προειδοποίησε πρόσφατα το FBI, πολλά από τα καταστήματα που λειτουργούν σε αυτό είναι γεμάτα με ευπαθείς ευπαθείς ευπάθειες.

Έχοντας ρίξει μια προσεκτική ματιά σε μερικές από τις επιθέσεις του Keeper, οι εμπειρογνώμονες του Gemini είδαν αρκετές τεχνικές συσκότισης, οι οποίες υποδηλώνουν ότι οι χάκερ γνωρίζουν τι κάνουν. Ωστόσο, οι ερευνητές κατάφεραν να βρουν ένα λάθος. Ένα αρχείο καταγραφής πρόσβασης είχε μείνει απροστάτευτο και μετά από μια ματιά σε αυτό, οι ειδικοί βρήκαν τις λεπτομέρειες των 184 χιλιάδων πιστωτικών καρτών που διακυβεύτηκαν μεταξύ Ιουλίου 2018 και Απριλίου 2019. Έτσι προέκυψαν με την εκτίμηση των συνολικών κερδών του Keeper.

Χτυπώντας μικρότερους ιστότοπους, οι χάκερ του Keeper δεν τραβούν την προσοχή τους, και ταυτόχρονα, είναι προφανές ότι έχουν μεγάλο κέρδος από τη λειτουργία. Πρέπει να συμφωνήσετε ότι έχουν λίγο λόγο να το κόψουν τώρα.