Magecart Hacker Group haalt 17.000 domeinen-en-telling


Je mag niet herken de naam Magecart, maar je hebt de impact ervan gezien. Magecart, een reeks geavanceerde hacking-groepen, heeft achter enkele van de grotere hacks van de afgelopen jaren gezeten, van British Airways tot Ticketmaster, allemaal met het enige doel van het stelen van creditcardnummers. Zie ze als de ATM-skimmers van internet. En dankzij de slechte beveiligingstechnologie zijn ze de afgelopen maanden al 17.000 domeinen geraakt.

Een nieuw rapport van Risk Disq, een bedrijf voor risicodetectie, geeft aan hoe hackers van Magecart een manier hebben gevonden om Amazon S3-buckets te scannen – cloudrepository's met gegevens en andere back-endbenodigdheden voor sites en bedrijven – voor gebruikers die verkeerd geconfigureerd zijn om iedereen met een Amazon Web Services-account toe te staan om niet alleen de inhoud ervan te lezen, maar er ook naar te schrijven en de wijzigingen door te voeren die ze willen. Zoals bijvoorbeeld het invoegen van code die creditcardnummers steelt van e-commercesites.

De hack

RiskIQ heeft de activiteit al in april gevolgd; het merkte voor het eerst de techniek op nadat verschillende internetbedrijven in de toeleveringsketen in mei werden gehackt. In plaats van de typische gerichte aanvallen die Magecart-groepen in het verleden hadden ingezet, bleken deze deel uit te maken van een nieuwe "spray and pray" -techniek. De Magecart-hackers castten het breedst mogelijke net en veranderden de code van talloze sites die helemaal geen e-commerce-functie hadden, in de hoop genoeg sites te vinden die creditcards verwerken om zijn inspanningen de moeite waard te maken.

"Het is nog steeds aan de gang terwijl we nu praten", zegt RiskIQ-dreigingsonderzoeker Yonathan Klijnsma. "Al deze jongens doen gewoon massaal een poging om S3-emmers te vinden die verkeerd zijn geconfigureerd. En hun skimmers komen overal. "

Met name wanneer de hackers een verkeerd geconfigureerde S3-bucket vinden, voeren ze een scan uit om JavaScript-bestanden te identificeren. Omdat de machtigingen van de bucket iedereen toestaan ​​code te schrijven, tackelen de aanvallers eenvoudig hun Magecart-malware in het bestand en overschrijven vervolgens het script dat daar was. Stel je voor dat een bank onweerlegbare instructies aan haar stemopnemers zou achterlaten op een schoolbord. Als je ook krijt hebt en een beetje ruimte kunt vinden, kun je veel problemen veroorzaken.

Wie heeft er last van?

Het is een ingewikkelder vraag dan het klinkt. Het eenvoudigste antwoord is: 17.000 domeinen en het tellen, waaronder, zegt RiskIQ, sommige behoren tot de 2.000 grootste sites ter wereld.

Maar veel van die sites verwerken helemaal geen creditcardtransacties, waardoor de Magecart-code verbroken wordt. Het is ook onduidelijk hoeveel daadwerkelijke S3-buckets worden beïnvloed, omdat meerdere domeinen weer kunnen worden gekoppeld aan dezelfde. Dus het eigenlijke antwoord, het belangrijkste, zit in het midden van het Venn-diagram, gevormd door "domeinen gekoppeld aan agressief verkeerd geconfigureerde S3-buckets" en "domeinen die creditcardbetalingen verwerken." Of meer to the point, iemand die ongelukkig genoeg is om te betalen voor iets op een van die sites voordat de aanval is opgelost.

Dat kan een tijdje duren. RiskIQ werkt samen met Amazon om de getroffen beheerders te waarschuwen voor hun blootstelling, maar 17.000 domeinen ruilen kost tijd. Net als het maken van de nodige back-endaanpassingen.

Hoe slecht is dit?

Het probleem van gecompromitteerde e-commercesites, hoe veel er ook zijn, zal duidelijke gevolgen hebben. Maar het grotere probleem komt voort uit de methode van aanval zelf.

Amazon S3-buckets zijn standaard beveiligd. Bedrijven komen in de problemen wanneer zij deze rechten actief wijzigen, ergens in het ontwikkelingsproces of wanneer zij cloudwerk overdragen aan een derde-contractant. Die misconfiguraties in de emmer van de Amazon S3 hebben al veel problemen veroorzaakt. De neerslag was echter meestal beperkt tot de blootstelling van persoonlijk identificeerbare informatie, enorme databases met gebruikersnamen en wachtwoorden en verjaardagen en socialezekerheidsnummers die te koop worden aangeboden, of gratis, op het donkere web en elders. Dat komt omdat die goofs meestal geven lezen toestemming voor indringers, maar niet de mogelijkheid om schrijven code. De Magecart-hackers hebben een manier bedacht om te zoeken naar misconfiguraties die beide doen – en nu kennen ze 17.000 kwetsbare domeinen.

"Dit is een geheel nieuw niveau van verkeerd configureren", zegt Klijnsma. "Deze emmers zijn vrijwel in het bezit van iedereen die ermee praat, wat op een andere schaal gebeurt, een ander soort datalekken. Vrijwel iedereen kan iets doen in die S3-emmers, en het bereik daarvan is vrij groot. '

De Magecart-hackers hebben een bijzondere focus: skimming op creditcard. Maar het is niet moeilijk om je een groep voor te stellen die groter denkt, of op zijn minst met een meer anarchistische neiging. Met dezelfde techniek kunt u allerlei soorten malware aan dezelfde sites toevoegen.

Amazon heeft tools ontwikkeld om zijn cloudklanten te helpen dit soort aanvallen te voorkomen, waaronder een in wezen met één muisklik "blokkeer openbare toegang" -optie die het afgelopen najaar is uitgerold. Tweak die ene instelling, en dit probleem verdwijnt. Maar duidelijk, aantoonbaar, hebben duizenden domeinen hun infrastructuur nog steeds niet afgesloten, met mogelijk verwoestende gevolgen.

"Niemand lijkt dit te hebben gemerkt", zegt Klijnsma, "en het gaat nog steeds door met zo'n waanzinnig tempo."


Meer Great WIRED Stories