Cybercriminale au așteptat cu ani înainte de a activa Backdoor masiv de comerț electronic în software-ul Magento
Facepalm: Atacurile cu lanț de aprovizionare pot rămâne latente pentru perioade îndelungate înainte de a -și atinge ținta, dar de obicei nu au nevoie de ani de zile pentru a -și atinge obiectivele. Cu toate acestea, un atac recent descoperit a reușit să rămână nedetectat pentru o perioadă record de timp.
Cel puțin trei furnizori de instrumente software de comerț electronic au fost compromisi într-un atac coordonat al lanțului de aprovizionare care datează de cel puțin șase ani. Potrivit firmei de securitate SANSEC, atacatorii necunoscuți au injectat un backdoor periculos în produsele vânzătorilor, preluând doar controlul asupra serverelor de comerț electronic terților în urmă cu câteva zile.
În cele din urmă, din spate a infectat sute de site-uri web de comerț electronic, SANSEC estimând între 500 și 1.000 de victime totale. Site -urile afectate includ atât întreprinderi mici, cât și întreprinderi mari – inclusiv o corporație multinațională de 40 de miliarde de dolari pe care Sansec a refuzat să o identifice.
Vânzătorii compromisi oferă extensii pentru Magento, platforma de comerț electronic open-source achiziționată de Adobe în urmă cu câțiva ani. Sansec a raportat că serverele aparținând lui Tigren, MageSolution și MeteAnshi au fost încălcate, atacatorii injectând backdoors în sistemele lor de descărcare.
Analiștii au descoperit, de asemenea, o versiune modificată a suplimentului Weltpixel Googlegmanager. Cu toate acestea, încă nu este clar dacă sistemele Weltpixel au fost direct compromise sau dacă au fost afectate doar magazinele de comerț electronic al utilizatorului final.
Sansec a descris atacurile lanțului de aprovizionare drept una dintre cele mai severe amenințări cu care se confruntă sisteme online. După ce au compromis serverele vânzătorilor, ciberneticii au obținut acces nu numai la clienții vânzătorilor, ci și la extensie-la toți utilizatorii finali care vizitează magazinele de comerț electronic afectat. Odată activat, backdoor și -a executat sarcina utilă rău intenționată în browserele utilizatorilor, furând informații de plată într -o manieră care amintește de un atac tipic MageCart.
Firma de securitate a publicat instrucțiuni pentru a ajuta operatorii de site-uri web să stabilească dacă platformele lor de comerț electronic au fost compromise de această nouă campanie de lanț de aprovizionare. Un indicator cheie este o funcție PHP care încearcă să încarce un fișier numit „$ LicenseFile”, care inițiază un lanț de execuție care duce la injectarea codului PHP rău intenționat.
Sansec a spus că a încercat să avertizeze vânzătorii de suplimente afectate. În ciuda avertismentului, atât Tigren, cât și Magesolution au continuat să distribuie versiunile compromise ale instrumentelor lor. Pe de altă parte, Meetanshi a recunoscut încălcarea, dar niciuna dintre companii nu a furnizat alte comentarii sau nu a răspuns la întrebări de urmărire. După cum a menționat Sansec, acesta este un comportament cu greu liniștitor din partea vânzătorilor care pretind că oferă soluții pentru a „ajuta magazinele online să aibă succes” în lumea competitivă a comerțului electronic.
