Сотни сайтов электронной торговли, включая как минимум один, принадлежащий крупной транснациональной компании, были заражены вредоносным ПО. Оно исполняет вредоносный код в браузерах посетителей, что позволяет похищать данные платёжных карт и другую конфиденциальную информацию. Об этом рассказали специалисты в области безопасности в понедельник.
Инцидент стал результатом атаки на цепочку поставок. Минимум три поставщика программного обеспечения были скомпрометированы вредоносным кодом, бывшим на протяжении шести лет и активировавшимся только в последние недели. Как минимум 500 сайтов электронной торговли, использующих заражённое ПО, были инфицированы. Не исключено, что реальное число пострадавших сайтов вдвое больше, заявили исследователи из компании Sansec.
Среди скомпрометированных клиентов оказалась транснациональная компания с капитализацией $40 млрд, название которой Sansec не раскрыла. В электронном письме в понедельник представитель Sansec сообщил, что «глобальная ликвидация последствий остаётся ограниченной».
Атака на цепочку поставок представляет серьёзную угрозу для миллионов людей, посещающих заражённые сайты. Она позволяет злоумышленникам исполнять произвольный код на серверах сайтов электронной торговли. С этих серверов затем запускается код для кражи данных на устройствах посетителей.
Поскольку бэкдор позволяет загружать и исполнять произвольный PHP-код, злоумышленники получают полный удалённый доступ и могут делать что пожелают.
Три поставщика ПО, выявленные Sansec, — это Tigren, Magesolution (MGS) и Meetanshi. Все они поставляют программное обеспечение, основанное на Magento. Это платформа с открытым исходным кодом, используемая тысячами интернет-магазинов. Версия ПО, продаваемая четвёртым поставщиком по имени Weltpixel, также была заражена аналогичным кодом в некоторых клиентских магазинах. Sansec пока не удалось подтвердить, были взломаны сами магазины или Weltpixel. Magento принадлежит Adobe с 2018 года.
Представитель Sansec сообщил, что по состоянию на понедельник Tigren и Magesolution продолжали распространять заражённые версии своего ПО. Meetanshi, по словам представителя, отрицает «какие-либо изменения, но признаёт факт взлома».
Sansec заявила, что любой сайт электронной торговли, использующий ПО от одного из этих поставщиков, должен внимательно проверить свои платформы на наличие признаков заражения. Один из самых простых способов обнаружить вредоносный код — поиск функции, добавляющей в код выполнение файла с именем $licenseFile как PHP.
Код бэкдора проверяет наличие секретного ключа во входящих веб-запросах. Если он предоставлен, он даёт его владельцу возможность выполнять команды на сервере сайта.
После запуска $licenseFile начинается цепочка дополнительных функций, в итоге запускающих вредоносный PHP-код на устройствах посетителей.
Всего Sansec выявила 21 расширение от трёх поставщиков, которые были заражены: