Ερευνητές της εταιρείας ασφάλειας εφαρμογών Jscrambler μόλις δημοσίευσαν ένα προειδοποιητική ιστορία για επιθέσεις στην εφοδιαστική αλυσίδα…
…αυτό είναι επίσης μια ισχυρή υπενθύμιση του πόσο μακριές μπορεί να είναι οι αλυσίδες επίθεσης.
Δυστυχώς, αυτό είναι μεγάλο μόνο από την άποψη του ώρα, όχι πολύ από την άποψη της τεχνικής πολυπλοκότητας ή του αριθμού των κρίκων στην ίδια την αλυσίδα.
Πριν από οκτώ χρόνια…
Η υψηλού επιπέδου έκδοση της ιστορίας που δημοσιεύτηκε από τους ερευνητές λέγεται απλά και έχει ως εξής:
- Στις αρχές της δεκαετίας του 2010, μια εταιρεία ανάλυσης ιστού που ονομάζεται Cockpit προσέφερε μια δωρεάν υπηρεσία μάρκετινγκ και ανάλυσης ιστού. Πολλοί ιστότοποι ηλεκτρονικού εμπορίου χρησιμοποίησαν αυτήν την υπηρεσία αντλώντας κώδικα JavaScript από τους διακομιστές του Cockpit, ενσωματώνοντας έτσι κώδικα τρίτων στις δικές τους ιστοσελίδες ως αξιόπιστο περιεχόμενο.
- Τον Δεκέμβριο του 2014, το Cockpit έκλεισε την υπηρεσία του. Οι χρήστες προειδοποιήθηκαν ότι η υπηρεσία θα ήταν εκτός σύνδεσης και ότι οποιοσδήποτε κώδικας JavaScript που εισήγαγαν από το Cockpit θα σταματήσει να λειτουργεί.
- Τον Νοέμβριο του 2021, κυβερνοεγκληματίες αγόρασαν το παλιό όνομα τομέα του Cockpit. Αυτό που μπορούμε μόνο να υποθέσουμε ότι ήταν ένα μείγμα έκπληξης και απόλαυσης, οι απατεώνες προφανώς ανακάλυψαν ότι τουλάχιστον 40 ιστότοποι ηλεκτρονικού εμπορίου δεν είχαν ακόμη ενημερώσει τις ιστοσελίδες τους για να αφαιρέσουν τυχόν συνδέσμους στο Cockpit και εξακολουθούσαν να τηλεφωνούν στο σπίτι και να αποδέχονται οποιαδήποτε JavaScript κωδικός που ήταν σε προσφορά.
Μπορείτε να δείτε πού πηγαίνει αυτή η ιστορία.
Όλοι οι άτυχοι πρώην χρήστες του Cockpit που προφανώς δεν είχαν ελέγξει σωστά τα αρχεία καταγραφής τους (ή ίσως και καθόλου) από τα τέλη του 2014, δεν κατάλαβαν ότι εξακολουθούσαν να προσπαθούν να φορτώσουν κώδικα που δεν λειτουργούσε.
Υποθέτουμε ότι αυτές οι επιχειρήσεις παρατήρησαν ότι δεν λάμβαναν άλλα δεδομένα αναλυτικών στοιχείων από το Cockpit, αλλά επειδή περίμεναν ότι η ροή δεδομένων θα σταματήσει να λειτουργεί, υπέθεσαν ότι το τέλος των δεδομένων ήταν το τέλος των ανησυχιών τους για την ασφάλεια στον κυβερνοχώρο. στην υπηρεσία και το όνομα τομέα της.
Ένεση και επιτήρηση
Σύμφωνα με τον Jscrambler, οι απατεώνες που ανέλαβαν τον κατεστραμμένο τομέα και που απέκτησαν έτσι μια άμεση διαδρομή για να εισάγουν κακόβουλο λογισμικό σε οποιεσδήποτε ιστοσελίδες που εξακολουθούσαν να εμπιστεύονται και να χρησιμοποιούν αυτόν τον αναβιωμένο τώρα τομέα…
…άρχισε να κάνει ακριβώς αυτό, εισάγοντας μη εξουσιοδοτημένη, κακόβουλη JavaScript σε ένα ευρύ φάσμα ιστότοπων ηλεκτρονικού εμπορίου.
Αυτό επέτρεψε δύο βασικούς τύπους επίθεσης:
- Εισαγάγετε κώδικα JavaScript για να παρακολουθείτε το περιεχόμενο των πεδίων εισαγωγής σε προκαθορισμένες ιστοσελίδες. Δεδομένα σε
input,selectκαιtextareaπεδία (όπως θα περίμενε κανείς σε μια τυπική φόρμα ιστού) εξήχθη, κωδικοποιήθηκε και εξήχθη σε μια σειρά διακομιστών "call home" που διαχειρίζονται οι εισβολείς. - Εισαγάγετε πρόσθετα πεδία σε φόρμες ιστού σε επιλεγμένες ιστοσελίδες. Αυτό το κόλπο, γνωστό ως Ένεση HTML, σημαίνει ότι οι απατεώνες μπορούν να ανατρέψουν σελίδες που ήδη εμπιστεύονται οι χρήστες. Οι χρήστες μπορούν πιστευτά να παρασυρθούν να εισαγάγουν προσωπικά δεδομένα που αυτές οι σελίδες συνήθως δεν θα ζητούσαν, όπως κωδικούς πρόσβασης, γενέθλια, αριθμούς τηλεφώνου ή στοιχεία κάρτας πληρωμής.
Με αυτό το ζεύγος διανυσμάτων επίθεσης στη διάθεσή τους, οι απατεώνες μπορούσαν όχι μόνο να αφαιρέσουν ό,τι πληκτρολογήσατε σε μια φόρμα ιστού σε μια παραβιασμένη ιστοσελίδα, αλλά και να αναζητήσουν πρόσθετες πληροφορίες προσωπικής ταυτοποίησης (PII) που κανονικά δεν θα μπορούσαν να κλέβω.
Αποφασίζοντας ποιος κώδικας JavaScript θα εμφανιστεί με βάση την ταυτότητα του διακομιστή που ζήτησε τον κώδικα αρχικά, οι απατεώνες μπόρεσαν να προσαρμόσουν το κακόβουλο λογισμικό τους για να επιτίθενται σε διαφορετικούς τύπους ιστότοπου ηλεκτρονικού εμπορίου με διαφορετικούς τρόπους.
Αυτό το είδος προσαρμοσμένης απόκρισης, το οποίο είναι εύκολο να εφαρμοστεί κοιτάζοντας το Referer: Η κεφαλίδα που αποστέλλεται στα αιτήματα HTTP που δημιουργούνται από το πρόγραμμα περιήγησής σας, καθιστά επίσης δύσκολο για τους ερευνητές της κυβερνοασφάλειας να προσδιορίσουν το πλήρες εύρος των «ωφέλιμων φορτίων» των επιθέσεων που έχουν οι εγκληματίες στο μανίκι τους.
Σε τελική ανάλυση, εάν δεν γνωρίζετε εκ των προτέρων την ακριβή λίστα των διακομιστών και των διευθύνσεων URL που αναζητούν οι απατεώνες στους διακομιστές τους, δεν θα μπορείτε να δημιουργήσετε αιτήματα HTTP που αποδυναμώνουν όλες τις πιθανές παραλλαγές της επίθεσης που έχουν προγραμματίσει οι εγκληματίες στο σύστημα.
Σε περίπτωση που αναρωτιέστε, το Referer: Η επικεφαλίδα, η οποία είναι λάθος ορθογραφία της αγγλικής λέξης "referrer", πήρε το όνομά της από ένα τυπογραφικό λάθος στο αρχικό διαδίκτυο πρότυπα εγγράφου.
Τι να κάνω;
- Ελέγξτε τους συνδέσμους της αλυσίδας εφοδιασμού που βασίζονται στον ιστό. Οπουδήποτε βασίζεστε σε διευθύνσεις URL που παρέχονται από άλλα άτομα για δεδομένα ή κώδικα που προβάλλετε σαν να ήταν δικοί σας, πρέπει να ελέγχετε τακτικά και συχνά ότι μπορείτε ακόμα να τους εμπιστεύεστε. Μην περιμένετε να παραπονεθούν οι δικοί σας πελάτες ότι «κάτι φαίνεται σπασμένο». Πρώτον, αυτό σημαίνει ότι βασίζεστε εξ ολοκλήρου σε αντιδραστικά μέτρα κυβερνοασφάλειας. Δεύτερον, μπορεί να μην υπάρχει κάτι προφανές για να το παρατηρήσουν και να αναφέρουν οι ίδιοι οι πελάτες.
- Ελέγξτε τα αρχεία καταγραφής σας. Εάν ο δικός σας ιστότοπος χρησιμοποιεί ενσωματωμένους συνδέσμους HTTP που δεν λειτουργούν πλέον, τότε κάτι δεν πάει καλά. Είτε δεν έπρεπε να εμπιστεύεστε αυτόν τον σύνδεσμο πριν, επειδή ήταν λάθος, είτε δεν θα έπρεπε να τον εμπιστεύεστε πλέον, επειδή δεν συμπεριφέρεται όπως παλιά. Εάν δεν πρόκειται να ελέγξετε τα κούτσουρα σας, γιατί να μπείτε στον κόπο να τα συλλέξετε εξαρχής;
- Εκτελείτε τακτικά δοκιμαστικές συναλλαγές. Διατηρήστε μια τακτική και συχνή διαδικασία δοκιμής που ρεαλιστικά περνά από τις ίδιες αλληλουχίες διαδικτυακών συναλλαγών που περιμένετε να ακολουθήσουν οι πελάτες σας και παρακολουθήστε προσεκτικά όλα τα εισερχόμενα και εξερχόμενα αιτήματα. Αυτό θα σας βοηθήσει να εντοπίσετε απροσδόκητες λήψεις (π.χ. το δοκιμαστικό πρόγραμμα περιήγησής σας που απορροφά άγνωστη JavaScript) και απροσδόκητες μεταφορτώσεις (π.χ. εξαγωγή δεδομένων από το δοκιμαστικό πρόγραμμα περιήγησης σε ασυνήθιστους προορισμούς).
Εάν εξακολουθείτε να προμηθεύεστε JavaScript από έναν διακομιστή που αποσύρθηκε πριν από οκτώ χρόνια, ειδικά εάν το χρησιμοποιείτε σε μια υπηρεσία που χειρίζεται PII ή δεδομένα πληρωμής, δεν είστε μέρος της λύσης, είστε μέρος του προβλήματος …
…λοιπόν, σε παρακαλώ, μην είσαι αυτό το άτομο!
Σημείωση για τους πελάτες της Sophos. Ο "αναζωογονημένος" τομέας ιστού που χρησιμοποιείται εδώ για την ένεση JavaScript (web-cockpit DOT jp, εάν θέλετε να αναζητήσετε τα δικά σας αρχεία καταγραφής) αποκλείεται από τη Sophos ως PROD_SPYWARE_AND_MALWARE και SEC_MALWARE_REPOSITORY. Αυτό υποδηλώνει ότι ο τομέας είναι γνωστό ότι όχι μόνο σχετίζεται με εγκληματικότητα στον κυβερνοχώρο που σχετίζεται με κακόβουλο λογισμικό, αλλά και ότι εμπλέκεται στην ενεργή προβολή κώδικα κακόβουλου λογισμικού.
- blockchain
- Cockpit
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Απώλεια δεδομένων
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- e-commerce
- firewall
- Ένεση HTML
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- μυστικότητα
- αποβουτύρωση
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
