Magecart Hacker Group touche 17 000 domaines et compte


Vous ne pouvez pas reconnaissez le nom de Magecart, mais vous avez vu son impact. Un ensemble de groupes de piratage sophistiqués, Magecart a été à l'origine de certains des plus gros piratages de ces dernières années, de British Airways à Ticketmaster, tous avec l'objectif singulier de voler des numéros de carte de crédit. Pensez à eux comme aux skimmers ATM du Web. Et grâce à une mauvaise hygiène de sécurité, ils ont réussi à couvrir 17 000 domaines au cours des derniers mois.

Un nouveau rapport de la société de détection de menaces RiskIQ explique comment les pirates informatiques de Magecart ont trouvé un moyen d’analyser les compartiments Amazon S3 (référentiels de cloud qui stockent des données et d’autres éléments essentiels pour les sites et les entreprises), afin de permettre à quiconque disposant d’Amazon Services. compte de ne pas simplement lire leur contenu, mais de leur écrire, en appliquant les changements qu’ils souhaitent. Par exemple, insérer un code qui vole les numéros de carte de crédit des sites de commerce électronique.

Le hack

RiskIQ a suivi l’activité depuis le début avril; Il a d'abord remarqué la technique après avoir constaté que plusieurs sociétés de la chaîne logistique Internet avaient été compromises en mai. Plutôt que les attaques ciblées typiques que les groupes Magecart avaient déployées dans le passé, elles se sont révélées faire partie d'une nouvelle technique de «pulvérisation et prière». Les hackers de Magecart lancaient le filet le plus large possible, modifiant le code d'innombrables sites n'ayant aucune fonction de commerce électronique, dans l'espoir de capturer suffisamment de sites qui traitent les cartes de crédit pour que ses efforts en valent la peine.

«Nous sommes toujours en train de parler, cela continue», a déclaré Yonathan Klijnsma, chercheur sur les menaces chez RiskIQ. «Tout ce qu’ils font, c’est juste essayer en masse de trouver des seaux S3 mal configurés. Et leurs écumoires deviennent partout. "

En particulier, une fois que les pirates ont trouvé un panier S3 correctement mal configuré, ils ont lancé une analyse pour identifier les fichiers JavaScript. Comme les autorisations du compartiment permettent à quiconque d’y écrire du code, les attaquants se contentent de coller leur malware Magecart sur le fichier, puis d’écraser le script qui s’y trouvait. Imaginez si une banque laissait des instructions irréfutables à ses guichets au tableau. Si vous avez aussi de la craie et que vous pouvez trouver un peu de place, vous risquez de causer beaucoup de problèmes.

Qui est concerné?

C'est une question plus compliquée qu'il n'y paraît. La réponse la plus simple est la suivante: 17 000 domaines, y compris, selon RiskIQ, certains parmi les 2 000 plus grands sites du monde.

Mais beaucoup de ces sites ne traitent pas tous les transactions par carte de crédit, rendant le code Magecart sans objet. Il est également difficile de savoir combien de compartiments S3 sont réellement affectés, car plusieurs domaines peuvent être reliés au même. Ainsi, la réponse réelle, celle qui compte, se situe au centre du diagramme de Venn, formé de «domaines liés à des compartiments S3 agressivement mal configurés» et de «domaines qui traitent les paiements par carte de crédit». Ou plus exactement, quiconque est assez malheureux pour payer pour quelque chose sur l'un de ces sites avant la résolution de l'attaque.

Ce qui pourrait prendre un moment. RiskIQ collabore avec Amazon pour alerter les administrateurs concernés de leur exposition, mais 17 000 domaines prennent du temps. De même que les ajustements nécessaires.

Comment est-ce mauvais?

La question des sites de commerce électronique compromis, si nombreux qu’ils soient, aura des ramifications évidentes. Mais le plus gros problème provient de la méthode d'attaque elle-même.

Les compartiments Amazon S3 sont sécurisés par défaut. Les entreprises rencontrent des difficultés lorsqu'elles modifient activement ces autorisations, que ce soit au cours du processus de développement ou lorsqu'elles confient le travail en nuage à un tiers. Ces erreurs de configuration du compartiment Amazon S3 ont déjà provoqué de nombreux problèmes. Toutefois, les retombées se sont généralement limitées à la divulgation d'informations personnellement identifiables, d'énormes bases de données de noms d'utilisateur et de mots de passe, d'anniversaires et de numéros de sécurité sociale vendus à la vente, ou gratuitement, sur Internet et ailleurs. C’est parce que ces gaffes donnent généralement lis permission aux intrus, mais pas la capacité de écrire code. Les hackers de Magecart ont trouvé un moyen de rechercher les erreurs de configuration qui font les deux, et ils connaissent maintenant 17 000 domaines vulnérables.

«Il s'agit d'un tout nouveau niveau de mauvaise configuration», a déclaré Klijnsma. «Ces compartiments appartiennent à peu près à quiconque y parle, ce qui est d'une ampleur différente, d'un type différent de fuite de données. Quasiment tout le monde peut faire n'importe quoi dans ces seaux S3, et la portée de ceux-ci est assez grande. ”

Les hackers de Magecart ont un objectif singulier: le rasage de cartes de crédit. Mais il n’est pas difficile d’imaginer un groupe qui pense plus grand, ou du moins avec un penchant plus anarchique. Avec la même technique, vous pouvez ajouter toutes sortes de programmes malveillants aux mêmes sites.

Amazon a développé des outils pour aider ses clients du cloud à prévenir ce type d’attaque, notamment une option de "blocage de l’accès public", en un clic, qui a été déployée à l’automne dernier. Tweak ce paramètre, et ce problème disparaît. Mais manifestement, des milliers de domaines n’ont toujours pas verrouillé leur infrastructure, avec des conséquences potentiellement dévastatrices.

"Personne ne semble avoir remarqué cela", dit Klijnsma, "et cela se poursuit à un rythme aussi insensé."


Plus de grandes histoires câblées