[ad_1]

Fabricant de confitures et gelées Smucker’s la semaine dernière a fermé sa boutique en ligne, notifier visiteurs que le site était en cours de réorganisation en raison d’une faille de sécurité mettant en péril les données de carte de crédit des clients. Un examen plus approfondi de l’attaque suggère que la société n’était que l’une des dizaines d’entreprises – dont au moins un processeur de carte de crédit – piratée l’année dernière par le même gang criminel qui a infiltré certains des plus grands courtiers en données du monde.

Lettre de Smuckers aux visiteurs.

Smucker’s alerte les visiteurs du site Web.

Comme Smucker l’a mentionné dans sa FAQ sur la violationle logiciel malveillant qui a frappé le site de cette société se comporte comme un cheval de Troie bancaire sur les PC, sauf qu’il est conçu pour voler des données à partir d’applications de serveur Web.

Les chevaux de Troie PC tels que ZeuS, par exemple, siphonnent les informations à l’aide de deux techniques majeures : piéger les mots de passe stockés dans le navigateur et procéder à la « saisie de formulaires » – capturant toutes les données saisies dans un champ de formulaire dans le navigateur avant qu’elles ne puissent être chiffrées dans la session Web et envoyé vers le site visité par la victime.

Le logiciel malveillant qui a pénétré le site de Smucker s’est comporté de la même manière, arrachant les données de formulaire soumises par les visiteurs – y compris les noms, adresses, numéros de téléphone, numéros de carte de crédit et code de vérification de carte – pendant que les clients soumettaient les données lors du processus de paiement en ligne.

Ce qui est intéressant à propos de cette attaque, c’est qu’elle met en évidence un point important sur le rôle des logiciels malveillants dans la subversion des connexions sécurisées : qu’ils résident sur un serveur Web ou sur l’ordinateur d’un utilisateur final, si l’un des terminaux est compromis, c’est la fin de la partie pour la sécurité de cette session Web. Avec Zeus, il s’agit de surveiller le pré-chiffrement côté client, alors que ce que font les malfaiteurs avec ces attaques de sites Web consiste à aspirer les données des clients après ou avant le cryptage (selon que les données étaient entrantes ou sortantes).

EN BONNE COMPAGNIE

Lorsqu’un lecteur a attiré mon attention pour la première fois sur l’avis de violation de Smucker, je me suis immédiatement rappelé avoir vu le nom de l’entreprise parmi une liste de cibles choisies l’année dernière par un groupe de piratage criminel qui a pillé des sites exécutant des versions obsolètes et vulnérables de Fusion froideune plateforme d’applications Web créée par Systèmes Adobe Inc..

Selon plusieurs sources connaissant les attaquants et leur infrastructure, il s’agit du même gang responsable d’une série impressionnante d’effractions très médiatisées l’année dernière, notamment :

–Une intrusion chez Adobe au cours de laquelle les attaquants ont volé des données de carte de crédit, des dizaines de millions d’enregistrements clients et le code source de la plupart des logiciels les plus vendus d’Adobe (ColdFusion, Adobe Reader/Acrobate/Photoshop);

-Une effraction ciblant les courtiers en données LexisNexis, Dun & Bradstreet et Kroll.

-Un piratage contre le National White Collar Crime Center, une organisation à but non lucratif financée par le Congrès qui fournit des formations, un soutien aux enquêtes et des recherches aux agences et entités impliquées dans la prévention, les enquêtes et les poursuites en matière de cybercriminalité.

TROP DE VICTIMES

Toutes les victimes mentionnées ci-dessus n’impliquaient pas l’exploitation des vulnérabilités de ColdFusion, mais Smucker’s figurait sur une liste de magasins en ligne compromis que j’ai malheureusement perdu de vue vers la fin de 2013, au milieu d’une série d’enquêtes impliquant des violations chez des victimes beaucoup plus importantes.

Alors que je cherchais dans mes archives de diverses notes et les pages Web mises en cache associées à ces attaquants, j’ai localisé la référence de Smucker près du haut d’un panneau de contrôle pour un botnet ColdFusion que les attaquants avaient construit et maintenu tout au long de l’année dernière (et apparemment en 2014 , comme Smucker’s l’a déclaré n’avoir pris connaissance de la violation qu’à la mi-février 2014).

Une infime partie du panneau de botnet ColdFusion.

Une infime partie du panneau de botnet ColdFusion.

Le panneau de configuration du botnet a répertorié des dizaines d’autres sites de commerce électronique comme activement infectés. Incroyablement, certains des magasins répertoriés comme compromis en août 2013 sont toujours apparemment infectés, comme en témoigne l’existence de portes dérobées accessibles au public sur les sites. BreachTrace a informé les sociétés propriétaires des sites Web répertoriés dans le panneau de botnet (dont des extraits apparaissent au-dessus et en dessous, en rouge et vert), mais la plupart d’entre eux n’ont pas encore répondu.

Certaines des victimes ici – comme l’échange d’argent en ligne australien technocash.com.au – ne sont plus en activité. Selon ce panneau de botnet, Technocash a été infecté le 25 février 2013 ou avant (la deuxième colonne à partir de la droite indique la date à laquelle le logiciel malveillant sur le site a été mis à jour pour la dernière fois).

technocash

On ne sait pas si l’infection du portail sécurisé de Technocash (https://secure.technocash.com.au) a contribué à sa disparition, mais la société semble avoir eu des problèmes sur plusieurs fronts. Technocash a fermé ses portes en juin 2013, après avoir été nommé en Département américain de la justice successif actes d’accusation ciblant le bazar de la drogue en ligne Silk Road et la monnaie virtuelle aujourd’hui disparue Liberty Reserve.

PAIEMENT SÉCURISÉ

Une victime particulièrement intéressante qui était fortement représentée dans le panel du botnet était SecurePayune société de traitement de cartes de crédit basée à Alpharetta, en Géorgie. Joint par téléphone, le directeur de l’exploitation de la société Tom Tesmer a expliqué que son organisation — Calpiancommerce.com — avait acquis début 2013 les actifs de SecurePay auprès de Données de pipelineune entité aujourd’hui disparue qui avait fait faillite.

À l’époque, le matériel et les logiciels qui alimentaient les activités de Pipeline manquaient d’un centre de données à New York. Tesmer a déclaré que les serveurs de Pipeline exécutaient en effet une version obsolète de ColdFusion, mais que les opérations en ligne de l’entreprise avaient été entièrement reconstruites dans le centre de données d’Atlanta de CalpianCommerce sous la bannière SecurePay à partir d’octobre 2013.

Tesmer m’a dit que l’entreprise n’était au courant d’aucune violation affectant l’environnement de SecurePay. « Nous ne sommes pas au courant de cartes compromises », a déclaré Tesmer dans un e-mail. Cela m’a semblé étrange, car les voleurs avaient clairement marqué une grande partie des données qu’ils avaient volées comme « SecurePay » et répertorié l’URL « https://www.securepay.com/ » comme page infectée.

Suite à notre conversation, j’ai envoyé à Tesmer environ 5 000 enregistrements de transactions par carte que des voleurs avaient apparemment volés sur la passerelle de paiement de SecurePay et cachés sur un serveur avec des données d’autres entreprises victimes (données qui ont finalement été partagées via des tiers avec le FBI l’automne dernier). Les données sur le panneau de botnet de l’attaquant indiquaient que les voleurs collectaient toujours des données de carte à partir de la passerelle de SecurePay jusqu’au 26 août 2013.

Tesmer est revenu et a confirmé que les données de la carte avaient en fait été volées lors des transactions des clients traitées via sa passerelle de paiement SecurePay, et que SecurePay a maintenant contacté sa banque sponsor au sujet de l’incident. En outre, Tesmer a déclaré que les transactions compromises étaient associées à une alerte de pare-feu d’application Web déclenchée l’été dernier que la société a transmise à son centre de données, alors situé à New York.

Plusieurs serveurs de la société de traitement des cartes de crédit SecurePay ont été compromis par les botmasters ColdFusion.

Plusieurs serveurs de la société de traitement des cartes de crédit SecurePay ont été piratés par les botmasters ColdFusion.

« Cet avertissement est apparu alors que le système n’était pas sous notre contrôle, mais sous le contrôle des gens de New York », a déclaré Tesmer. « Nous avons envoyé cette alerte aux gars du réseau là-haut et ils ont dit qu’ils allaient bloquer cette adresse IP, et c’est la dernière fois que nous en avons entendu parler. »

Il s’avère que SecurePay a également reçu la visite du FBI en septembre, mais hélas, cette enquête n’a apparemment abouti à rien.

« Nous avons reçu la visite du FBI en septembre dernier, et ils ont dit qu’ils avaient trouvé le nom SecurePay sur une liste de sites pour lesquels ils poursuivaient une grande équipe de hackers », a déclaré Tesmer. « Je n’associais pas l’un à l’autre. Nous avons fait venir le FBI pour jeter un coup d’œil à cette base de données, et ils ont suggéré que nous fassions une version de notre système et que nous la mettions de côté pour eux et que nous créions un nouveau système, ce que nous avons fait. Ils ont dit qu’ils nous recontacteraient au sujet de leurs conclusions sur la base de données. Mais nous n’avons plus jamais entendu parler d’eux.

Demain, nous verrons la partie II de cette histoire, qui examine l’impact que ce botnet a eu sur plusieurs petites entreprises, ainsi que les leçons importantes et coûteuses que ces entreprises ont tirées de leurs intrusions.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *