Злом виробника програмного забезпечення використовувався для викрадення до 200 000 серверів
Злом виробника програмного забезпечення використовувався для викрадення до 200 000 серверів
Збільшити
Getty Images
Fishpig, британський виробник програмного забезпечення для електронної комерції, яке використовується приблизно на 200 000 веб-сайтах, закликає клієнтів перевстановити або оновити всі існуючі розширення програми після виявлення недоліку безпеки на його сервері розповсюдження, який дозволяв злочинцям таємно отримати доступ до систем клієнтів.
Невідомі хакери використовували свій контроль над системами FishPig, щоб здійснити атаку на ланцюжок поставок, яка заразила клієнтські системи Rekoobe, складним бекдором, виявленим у червні. Rekoobe маскується під безпечний сервер SMTP і може бути активований секретними командами, пов’язаними з обробкою команди startTLS зловмисника в Інтернеті. Після активації Rekoobe надає зворотну оболонку, яка дозволяє зловмиснику віддалено надсилати команди на заражений сервер.
«Ми все ще з’ясовуємо, як зловмисник отримав доступ до наших систем, і наразі не знаємо, чи це був експлойт сервера чи експлойт програми», — написав Бен Тайдесвелл, провідний розробник FishPig, в електронному листі. «Що стосується самої атаки, ми вже звикли бачити автоматизовані експлойти додатків, і, можливо, таким чином зловмисники спочатку отримали доступ до нашої системи. Опинившись усередині, їм довелося вручну вибрати, де і як розмістити свій експлойт. "
FishPig є постачальником інтеграції Magento з WordPress. Magento – це платформа електронної комерції з відкритим кодом, яка використовується для розробки онлайн-ринків.
Tideswell сказав, що остання перевірка програмного забезпечення, виконана на його серверах, яка не включала зловмисний код, була виконана 6 серпня, що робить це найранішою датою ймовірного злому. Sansec, охоронна фірма, яка виявила недолік і першою повідомила про нього, заявила, що вторгнення почалося 19 серпня або раніше. до того, що сталося."
У розголошенні, опублікованому після того, як порада Sansec стала доступною, FishPig сказав, що зловмисники використовували свій доступ, щоб вставити шкідливий PHP-код у файл Helper/License.php, який міститься в більшості розширень FishPig. Після запуску Rekoobe видаляє всі шкідливі файли з диска і працює тільки в пам'яті. Для скритності він ховається як системний процес, який намагається імітувати одну з таких дій:
Потім бекдор очікує на команди від сервера, розташованого за адресою 46.183.217.2. У Sansec заявили, що ще не виявили зловживання відстеженням із сервера. Охоронна фірма підозрює, що зловмисники планують масово продавати доступ до заражених магазинів на хакерських форумах.
Tideswell відмовився повідомити, скільки активних установок її програмного забезпечення існує. Це повідомлення вказує на те, що програмне забезпечення було завантажено понад 200 000 разів.
В електронному листі Tideswell додав:
Експлойт було розміщено безпосередньо перед зашифруванням коду. Розмістивши сюди зловмисний код, наші системи миттєво приховають його від будь-кого. Якщо потім клієнт запитав про обфускований файл, ми запевнили б його, що файл призначений для обфускації та безпечний. Після цього файл не вдалося виявити сканерами зловмисного програмного забезпечення.
Це спеціальна система, яку ми розробили. Зловмисники не могли шукати в Інтернеті більше. Опинившись усередині, вони повинні були переглянути код і прийняти рішення, де розгорнути свою атаку. Вони добре вибрали.
Наразі все очищено та встановлено кілька нових засобів захисту, щоб запобігти цьому повторенню. У будь-якому випадку ми зараз перебудовуємо весь наш веб-сайт і системи розгортання коду, і нові системи, які ми вже маємо (які ще не працюють), уже мають захист від атак цього типу.
Sansec і FishPig сказали, що клієнти повинні вважати...
Fishpig, британський виробник програмного забезпечення для електронної комерції, яке використовується приблизно на 200 000 веб-сайтах, закликає клієнтів перевстановити або оновити всі існуючі розширення програми після виявлення недоліку безпеки на його сервері розповсюдження, який дозволяв злочинцям таємно отримати доступ до систем клієнтів.
Невідомі хакери використовували свій контроль над системами FishPig, щоб здійснити атаку на ланцюжок поставок, яка заразила клієнтські системи Rekoobe, складним бекдором, виявленим у червні. Rekoobe маскується під безпечний сервер SMTP і може бути активований секретними командами, пов’язаними з обробкою команди startTLS зловмисника в Інтернеті. Після активації Rekoobe надає зворотну оболонку, яка дозволяє зловмиснику віддалено надсилати команди на заражений сервер.
«Ми все ще з’ясовуємо, як зловмисник отримав доступ до наших систем, і наразі не знаємо, чи це був експлойт сервера чи експлойт програми», — написав Бен Тайдесвелл, провідний розробник FishPig, в електронному листі. «Що стосується самої атаки, ми вже звикли бачити автоматизовані експлойти додатків, і, можливо, таким чином зловмисники спочатку отримали доступ до нашої системи. Опинившись усередині, їм довелося вручну вибрати, де і як розмістити свій експлойт. "
FishPig є постачальником інтеграції Magento з WordPress. Magento – це платформа електронної комерції з відкритим кодом, яка використовується для розробки онлайн-ринків.
Tideswell сказав, що остання перевірка програмного забезпечення, виконана на його серверах, яка не включала зловмисний код, була виконана 6 серпня, що робить це найранішою датою ймовірного злому. Sansec, охоронна фірма, яка виявила недолік і першою повідомила про нього, заявила, що вторгнення почалося 19 серпня або раніше. до того, що сталося."
У розголошенні, опублікованому після того, як порада Sansec стала доступною, FishPig сказав, що зловмисники використовували свій доступ, щоб вставити шкідливий PHP-код у файл Helper/License.php, який міститься в більшості розширень FishPig. Після запуску Rekoobe видаляє всі шкідливі файли з диска і працює тільки в пам'яті. Для скритності він ховається як системний процес, який намагається імітувати одну з таких дій:
Потім бекдор очікує на команди від сервера, розташованого за адресою 46.183.217.2. У Sansec заявили, що ще не виявили зловживання відстеженням із сервера. Охоронна фірма підозрює, що зловмисники планують масово продавати доступ до заражених магазинів на хакерських форумах.
Tideswell відмовився повідомити, скільки активних установок її програмного забезпечення існує. Це повідомлення вказує на те, що програмне забезпечення було завантажено понад 200 000 разів.
В електронному листі Tideswell додав:
Експлойт було розміщено безпосередньо перед зашифруванням коду. Розмістивши сюди зловмисний код, наші системи миттєво приховають його від будь-кого. Якщо потім клієнт запитав про обфускований файл, ми запевнили б його, що файл призначений для обфускації та безпечний. Після цього файл не вдалося виявити сканерами зловмисного програмного забезпечення.
Це спеціальна система, яку ми розробили. Зловмисники не могли шукати в Інтернеті більше. Опинившись усередині, вони повинні були переглянути код і прийняти рішення, де розгорнути свою атаку. Вони добре вибрали.
Наразі все очищено та встановлено кілька нових засобів захисту, щоб запобігти цьому повторенню. У будь-якому випадку ми зараз перебудовуємо весь наш веб-сайт і системи розгортання коду, і нові системи, які ми вже маємо (які ще не працюють), уже мають захист від атак цього типу.
Sansec і FishPig сказали, що клієнти повинні вважати...
Збільшити
Getty Images
