'22 regels JavaScript zorgden voor British Airways-hack'
De zogeheten Magecart-cybercrimebende is ook verantwoordelijk voor de datadiefstal bij British Airways (BA). De Britse vliegtuigmaatschappij is tussen 21 augustus en 5 september beroofd van klantgegevens, wat 380.000 mensen betreft. De diefstal is gepleegd via de website ba.com en via de mobiele app, maar daarbij zijn volgens de summiere mededeling van BA geen databases of servers gecompromitteerd.
Winkelkarretjescode
Wel waren betalingen via de website en de app geraakt. Dit heeft security-onderzoeker Yonathan Klijnsma (voorheen in dienst bij Fox-IT) en zijn collega's bij RiskIQ direct tot de verdenking gebracht dat de Magecart-bende hier achter zit. Die datadieven vallen namelijk Magento-websoftware aan en injecteren daarbij eigen kwaadaardige code die de eigenlijke diefstal uitvoert.
Deze JavaScript-code is gericht op de 'shopping carts' van webwinkels om daar betalingsinformatie te onderscheppen. Dit komt dus neer op een online-vorm van skimmen; het 'afluisteren' van betalingsinformatie zoals pincodes bij betaalpassen. De injectie van skimmingcode bij webshops heeft in juni dit jaar kaartjesgigant TicketMaster getroffen. RiskIQ heeft dit 'data-incident' onderzocht en daarbij geconcludeerd dat het valt onder een veel grotere rooftocht.
De recente roof bij British Airways is de nieuwste toevoeging aan deze cybercrimecampagne. "Onze eerste stap in het linken van Magecart aan de aanval op British Airways was simpelweg het doornemen van onze detectieresultaten voor Magecart", schrijft Klijnsma in de analyse. RiskIQ houdt namelijk bij waar de kwaadaardige code zoal opduikt. Dat is dusdanig vaak dat het bedrijf minstens elk uur een alarmmelding krijgt dat een website is gecompromitteerd en uitgerust met de skimmer-code. Zulke zoekresultaten worden toegevoegd aan wereldwijde blacklists die de securityleverancier bijhoudt.
Op maat gemaakte aanval
In het geval van de British Airways-hack had RiskIQ geen hits in de blacklists en vooraf ook geen vermoeden van de Magecart-bende. De datadieven hadden namelijk hun skimmer-code aangepast voor deze aanval, legt Klijnsma uit. Analyse van de vele scripts op de website van de vliegtuigmaatschappij heeft een plotse wijziging opgeleverd in één van die standaard meedraaiende JavaScript-elementen. Het bleek te gaan om een aangepaste versie van de Modernizr JavaScript library, "versie 2.6.2 om precies te zijn".
Onderaan dit script was ineens een toevoeging gedaan, die qua datum overeenkwam met het begin van de dataroof: 21 augustus dit jaar. De oorspronkelijke code had een timestamp van december 2012. De toevoeging was een simpele en doeltreffende 22 regels code: de skimmer van Magecart, in aangepaste vorm. Opvallend is nog dat het script contact legt met het domein baways.com wat is opgezet om onopvallend te lijken in de British Airways-omgeving. Deze serverinfrastructuur is speciaal opgezet voor deze dataroof, die zo'n 15 dagen met succes is uitgevoerd.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee