Взлом сайта British Airways оказался делом рук группировки MageCart

Back to Blog

Взлом сайта British Airways оказался делом рук группировки MageCart

Взлом сайта British Airways оказался делом рук группировки MageCart

Эксперты выяснили, как киберпреступники взломали сайт British Airways.

В недавней утечке данных клиентов British Airways, затронувшей порядка 380 тыс. человек, виновата киберпреступная группировка MageCart, специализирующаяся на кражах данных платежных карт. Злоумышленники компрометируют уязвимые сторонние сервисы и внедряют скрипт, действующий по принципу физических скиммеров, устанавливаемых в банкоматы. Таким образом злоумышленники получают доступ к сотням web-сайтов.

Эксперты компании RiskIQ, отслеживающей активность MageCart с 2016 года, провели анализ атаки на авиакомпанию British Airways и обнаружили вредоносные строки в программном коде сайта, с помощью которых злоумышленники смогли получить информацию о персональных данных сотен тысяч ее клиентов. В случае с British Airways группировка применила схему скимминга, но адаптировала срипт под архитектуру интернет-страницы авиаперевозчика.

«Этот скиммер очень хорошо приспособлен к организации платежей на сайте British Airways. Это свидетельствует о том, что организаторы очень тщательно продумали, как атаковать сайт, вместо того, чтобы слепо внедрять обычный скиммер MageCart», — отметили аналитики.

В ходе анализа специалисты проверили все загруженные сайтом компании скрипты на предмет недавних изменений и заметили, что в конце программного кода JavaScript-библиотеки Modernizr были добавлены 22 новые строки. В результате Modernizr отправляла платежную информацию на сервер атакующих.

Как пояснили эксперты, злоумышленники часто добавляют строки в конце, чтобы не нарушить работу скрипта.

Скомпрометированный код реагировал одинаковым образом вне зависимости от того, где открывался сайт British Airways — на компьютере или на мобильном устройстве. Для отвода подозрений все похищенные данные отправлялись на сайт baways[.]com, напоминающий официальный ресурс British Airways. Кроме того, злоумышленники использовали SSL-сертификат Comodo вместо бесплатной альтернативы от Let’s Encrypt в надежде, что платный сертификат будет привлекать меньше внимания.

В настоящее время неясно, как группировке удалось скомпрометировать сайт British Airways. По мнению экспертов, доступ к сайту у MageCart появился задолго до начала кибератаки, продолжавшейся с 21 августа по 5 сентября.

Как стало известно ранее, группировка MageCart также причастна к атакам на сервис по продаже билетов Ticketmaster UK и сайты под управлением системы для менеджмента интернет-магазинов Magento.

Поделиться этим постом

Back to Blog