Tiết lộ dữ liệu vi phạm hacker đằng sau British Airways

Computer Security News

Chuyên gia bảo mật tại RiskIQ báo cáo rằng các hacker đằng sau các vi phạm tại British Airways dữ liệu là băng đảng tội phạm MageCart.

MageCart đã được hoạt động kể từ ít nhất là năm 2015 và quản lý để thỏa hiệp rất nhiều trang web thương mại điện tử để ăn cắp thẻ thanh toán và các dữ liệu nhạy cảm.

Băng đảng cyber hoạt động bằng cách tiêm một kịch bản skimmer trong mục tiêu các trang web để siphon dữ liệu thẻ thanh toán, và ngay sau khi các trang web là thỏa hiệp, nó cho biết thêm một phần nhúng của Javascript với các mẫu HTML.

Đoạn mã độc hại được gọi là MagentoCore và nó ghi tổ hợp phím từ khách hàng và gửi chúng đến một máy chủ điều khiển bởi các hacker.

Thông thường, những kẻ tấn công cố gắng để thỏa hiệp các tính năng của bên thứ ba mà có thể cho phép họ truy cập vào một số lượng lớn các trang web.

Các chuyên gia tại RiskIQ tuyên bố rằng nhóm MageCart đã tiến hành một cuộc tấn công nhắm mục tiêu chống lại các British Airways bằng cách sử dụng một phiên bản tuỳ chỉnh của kịch bản để giữ bí mật.

Cho các cuộc tấn công cụ thể này, những tên tội phạm đã sử dụng một cơ sở hạ tầng dành riêng đối với các hãng hàng không.

“Cuộc tấn công này là một cách tiếp cận đơn giản nhưng nhắm mục tiêu cao so với những gì chúng ta đã thấy trong quá khứ với các Magecart skimmer mà vồ lấy hình thức bừa bãi. Skimmer này đặc biệt rất hài hòa với cách British Airway trang thanh toán được thiết lập, mà cho chúng ta biết rằng những kẻ tấn công một cách cẩn thận xem xét làm thế nào để nhắm mục tiêu các trang web này thay vì mù quáng chích thường xuyên Magecart skimmer.” kỳ phân tích RiskIQ.

“Cơ sở hạ tầng được sử dụng trong cuộc tấn công này đã được thiết lập chỉ với British Airways trong tâm trí và cố ý nhắm mục tiêu theo kịch bản mà sẽ pha trộn vào với xử lý để tránh phát hiện thanh toán bình thường. Chúng tôi đã thấy bằng chứng về điều này trên baways.com tên miền cũng như thả chủ đường”

Sau khi phân tích tất cả các script nạp bởi các trang web, các nhà nghiên cứu an ninh tìm thấy một số thay đổi ở Modernizr thư viện JavaScript, nơi các hacker thêm vào một số dòng mã ở dưới để tránh gây ra các vấn đề với kịch bản. Thư viện JavaScript đổi ngày 21 tháng 8, 20:49 GMT.

Đoạn mã độc hại đã được nạp từ trang thông tin Giữ hành yêu cầu bồi thường trên trang web của British Airways. Các mã đã được bổ sung bởi những tên tội phạm để Modernizr gửi thông tin thanh toán từ khách hàng thẳng đến các tin tặc máy chủ.

Các kịch bản cho phép kẻ tấn công để ăn cắp dữ liệu của người dùng từ các trang web và các ứng dụng điện thoại di động.

Dữ liệu bị đánh cắp từ các British Airways được gửi dưới dạng JSON đến một máy chủ lưu trữ trên baways.com tương tự như các tên miền hợp pháp được sử dụng bởi các hãng hàng không.

Các tin tặc đã mua một chứng chỉ SSL từ Comodo để tránh việc tăng sự nghi ngờ.

“Tên miền được lưu trữ trên 89.47.162.248 mà nằm ở Romania và là, trong thực tế, một phần của một nhà cung cấp VPS được đặt tên là Time4VPS có trụ sở tại Lithuania. Các diễn viên cũng tải các máy chủ với một giấy chứng nhận SSL. Điều thú vị, họ quyết định đi với một chứng chỉ được thanh toán từ Comodo thay vì chứng LetsEncrypt miễn phí, có khả năng để làm cho nó trông giống như một máy chủ hợp pháp. “ đội RiskIQ nói.

Hiện nay, vẫn không rõ là làm thế nào các băng đảng MageCart đã quản lý để tiêm mã độc trong trang web British Airways.


Leave a Reply

Your email address will not be published. Required fields are marked *