Prawie 600 sklepów internetowych zostało pomyślnie zaatakowanych przez tę samą grupę hakerów
Po długim dochodzeniu badacze z Gemini Advisory odkryli, że jedna grupa cyberprzestępców jest odpowiedzialna za udane ataki na nie mniej niż 570 witryn e-commerce w 55 krajach na całym świecie. Załoga nazywa się Keeper, a jej ataki polegają na naruszeniu celu i wstrzyknięciu złośliwego kodu, który wyodrębnia dane karty kredytowej i inne dane osobowe w trakcie realizacji transakcji.
To klasyczna operacja Magecart, która okazuje się być raczej skuteczna. Według wyliczeń Gemini, od kwietnia 2017 r. Do dnia dzisiejszego gang Keeper naraził na szwank około 700 tysięcy kart kredytowych, których wartość na ciemnym rynku internetowym wynosi około 7 milionów dolarów. Zobaczmy, jak eksperci wyciągnęli wszystkie te wnioski.
Panel logowania ujawnił całą infrastrukturę Keepera
Badacze Gemini odkryli gang Keeper, podążając za adresem URL eksfiltracji używanym podczas ataku Magecart. Zostali przywitani przez formularz logowania, który widzieli wcześniej. Identyczny panel logowania został użyty w innych atakach Magecart, a badacze wiedzieli, że może to być znaczące. Dalsze dochodzenie ujawniło, że wszystkie te panele logowania wskazywały na ten sam serwer dedykowany, co potwierdziło, że wszystkie ataki zostały przeprowadzone przez tę samą grupę hakerów. Nazwa „Keeper” pochodzi od faktu, że domena „filekeeper [.] Org” była główną częścią infrastruktury grupy.
Keeper - budząca grozę grupa Magecart
Po zidentyfikowaniu wszystkich poprzednich celów badacze Gemini postanowili przyjrzeć się szczegółowi modus operandi Keepera. Grupa kieruje głównie do małych, mniej popularnych sklepów internetowych, choć lista ofiar zawiera kilka stron internetowych, które odwiedzają ponad 500 tysięcy osób miesięcznie. Około 85% zaatakowanych stron zostało zbudowanych przy użyciu Magento, co nie powinno być zaskoczeniem. Magento jest jedną z najpopularniejszych platform do tworzenia witryn e-commerce, a jak ostrzegło ostatnio FBI, wiele sklepów w niej uruchomionych jest wypełnionych podatnymi na ataki lukami.
Po dokładnym przyjrzeniu się niektórym atakom Keepera eksperci Gemini zauważyli kilka technik zaciemniania, które sugerowały, że hakerzy wiedzą, co robią. Naukowcom udało się jednak znaleźć błąd. Dziennik dostępu został pozostawiony bez ochrony, a po zapoznaniu się z nim eksperci odkryli szczegóły 184 tysięcy kart kredytowych, które zostały naruszone między lipcem 2018 r. A kwietniem 2019 r. W ten sposób oszacowali całkowite zyski Keepera.
Odwiedzając mniejsze strony internetowe, hakerzy Keepera nie zwracają na siebie zbyt dużej uwagi, a jednocześnie oczywiste jest, że robią duży zysk z operacji. Musisz się zgodzić, że nie mają teraz powodu, by odejść.