Nesten 600 nettbutikker har blitt angrepet av samme gruppe hackere

Etter en langvarig undersøkelse avdekket forskere fra Gemini Advisory at en enkelt gruppe cyberkriminelle er ansvarlig for de vellykkede angrepene mot ikke mindre enn 570 netthandel med base i 55 land over hele verden. Mannskapet kalles Keeper, og angrepene består i å kompromittere målet og injisere ondsinnet kode som eksfiltrerer kredittkortdetaljer og annen personlig informasjon under kasseprosessen.

Det er en klassisk Magecart- operasjon, og den viser seg å være ganske vellykket. I følge Geminis beregninger har Keeper-gjengen mellom april 2017 og i dag kompromittert rundt 700 000 kredittkort, som har en mørk markedsverdi på rundt 7 millioner dollar. La oss se hvordan ekspertene klarte å trekke alle disse konklusjonene.

Et innloggingspanel avslørte Keepers hele infrastruktur

Gemini-forskere oppdaget Keeper-gjengen da de fulgte den eksfiltrerings-URL-en som ble brukt under et Magecart-angrep. De ble møtt av et innloggingsskjema som de hadde sett før. Et identisk påloggingspanel hadde blitt brukt i andre Magecart-angrep, og forskerne visste at dette kunne være betydelig. En videre undersøkelse avdekket at alle disse innloggingspanelene pekte mot den samme dedikerte serveren, som bekreftet at alle angrepene var blitt utført av den samme gruppen av hackere. Navnet "Keeper" kommer av det faktum at domenet "fileholder [.] Org" har vært en viktig del av gruppens infrastruktur.

Keeper - en formidabel Magecart-gruppe

Etter å ha identifisert alle tidligere mål, begynte Geminis forskere å undersøke detaljene i Keepers modus operandi. Gruppen er hovedsakelig rettet mot små, mindre populære nettbutikker, selv om listen over ofre inneholder noen få nettsteder som har over 500 000 månedlige besøkende. Rundt 85% av de angrepne nettstedene er bygget med Magento, noe som egentlig ikke burde være en overraskelse. Magento er en av de mest populære plattformene for å lage netthandelsnettsteder, og som FBI nylig advarte, er mange av butikkene som kjører på den fulle av sårbarheter som kan utnyttes lett.

Etter å ha sett en nærmere titt på noen av Keepers angrep, så Gemini-eksperter ganske mange tilslørningsteknikker, som antydet at hackerne vet hva de gjør. Forskerne klarte imidlertid å finne en feil. En tilgangslogg hadde blitt beskyttet uten beskyttelse, og etter å ha sett den inne fant ekspertene detaljene om 184 000 kredittkort kompromittert mellom juli 2018 og april 2019. Slik kom de på beregningen av Keepers totale fortjeneste.

Ved å treffe mindre nettsteder trekker Keepers hackere ikke for mye oppmerksomhet på seg selv, og samtidig er det åpenbart at de tjener heftig på operasjonen. Du må være enig i at de har liten grunn til å slutte nå.