Эксперты выяснили, как киберпреступники взломали сайт British Airways.
В недавней утечке данных клиентов British Airways, затронувшей порядка 380 тыс. человек, виновата киберпреступная группировка MageCart, специализирующаяся на кражах данных платежных карт. Злоумышленники компрометируют уязвимые сторонние сервисы и внедряют скрипт, действующий по принципу физических скиммеров, устанавливаемых в банкоматы. Таким образом злоумышленники получают доступ к сотням web-сайтов.
Эксперты компании RiskIQ, отслеживающей активность MageCart с 2016 года, провели анализ атаки на авиакомпанию British Airways и обнаружили вредоносные строки в программном коде сайта, с помощью которых злоумышленники смогли получить информацию о персональных данных сотен тысяч ее клиентов. В случае с British Airways группировка применила схему скимминга, но адаптировала срипт под архитектуру интернет-страницы авиаперевозчика.
«Этот скиммер очень хорошо приспособлен к организации платежей на сайте British Airways. Это свидетельствует о том, что организаторы очень тщательно продумали, как атаковать сайт, вместо того, чтобы слепо внедрять обычный скиммер MageCart», - отметили аналитики.
В ходе анализа специалисты проверили все загруженные сайтом компании скрипты на предмет недавних изменений и заметили, что в конце программного кода JavaScript-библиотеки Modernizr были добавлены 22 новые строки. В результате Modernizr отправляла платежную информацию на сервер атакующих.
Как пояснили эксперты, злоумышленники часто добавляют строки в конце, чтобы не нарушить работу скрипта.
Скомпрометированный код реагировал одинаковым образом вне зависимости от того, где открывался сайт British Airways - на компьютере или на мобильном устройстве. Для отвода подозрений все похищенные данные отправлялись на сайт baways[.]com, напоминающий официальный ресурс British Airways. Кроме того, злоумышленники использовали SSL-сертификат Comodo вместо бесплатной альтернативы от Let's Encrypt в надежде, что платный сертификат будет привлекать меньше внимания.
В настоящее время неясно, как группировке удалось скомпрометировать сайт British Airways. По мнению экспертов, доступ к сайту у MageCart появился задолго до начала кибератаки, продолжавшейся с 21 августа по 5 сентября.
Как стало известно ранее, группировка MageCart также причастна к атакам на сервис по продаже билетов Ticketmaster UK и сайты под управлением системы для менеджмента интернет-магазинов Magento.
Одно найти легче, чем другое. Спойлер: это не темная материя