Хакеры атаковали Комитет Сената США

 Национальные средства массовой информации в последнее время были поглощены сообщениями о нападении русских хакеров на сеть Национального комитета Демократической партии США, последние несколько месяцев точно. Дабы не оставлять республиканцев в стороне от подобных волнений, в докладе из Нидерландов сообщили, что российские хакеры в течение последних шести месяцев перекачивали данные кредитных карт посетителей интернет-магазина Национального республиканского сенаторского комитета (NRSC).

Национальный республиканский сенаторский комитет заявил: "Если Вы приобрели «Never Hillary» плакат или пожертвовали средства в NRSC через свой веб-сайт в период с марта 2016 года, есть очень большой шанс, что данные Вашей платежной карты были украдены вредоносными программами и теперь выставлены на продажу на сайтах киберпреступности".

Известия о взломе пришли от голландского исследователя Виллема Де Гроота. Он является со основателем и руководителем службы безопасности на голландском сайте электронной коммерции. Де Гроот считает, что NRSC является одним из более чем 5900 сайтов электронной коммерции, которые были взломаны. Вероятнее всего, они были скомпрометированы одним и тем же хакером и все полученные данные карт были отправлены в сеть серверов, обслуживаемых русскоязычным интернет-провайдером, зарегистрированным в Белизе.

Де Гроот сказал, что он вскрыл вредоносное ПО, установленное на сайте NRSC и других серверах и обнаружил, что хакеры использовали уязвимости в системе безопасности или слабые пароли для проникновения на различные сайты электронной коммерции.

Исследователь обнаружил, что вредоносные программы, называемые домом для определенных целевых веб-сайтов, выглядят как вполне законные сайты, связанные с деятельностью в области электронной коммерции, такие как jquery-cloud точка net, visa-cdn точка com, and magento-connection точка com.

"Нападавшие действительно присвоили доменные имена, которые выглядят легитимными”, - сказал де Гроот.

NRSC не ответил на многочисленные запросы о комментариях, но кэшированная копия исходного кода сайта от 5 октября 2016 года указала, что вредоносный код в этот момент находился на сайте.

Большинство доменов, вставленных во взломанные сайты с помощью карты вредоносных программ, возвращаются к нескольким сотням интернет-адресов, присвоенных компаниям под названием «данные  su».

Поток данных позиционируемый, как «оффшорный» хостинг-провайдер располагается в Белизе и на Сейшельских островах. Он  давно рекламируется на русскоязычных форумах по киберпреступности, как оффшорная гавань, предлагающая так называемый «пуленепробиваемый хостинг», фраза, используемая для описания тех фирм, которых старательно избегают наиболее законные организации,  в том числе и те, которые сознательно размещают у себя спам вредоносных программ.

Де Гроот опубликовал список сайтов, которые подверглись  модификации с помощью вредоносного ПО, это были такие сайты как, Converse, а так же автоконцерн Audi, хотя он говорит, что эти сайты и NRSC были очищены от вредоносного программного обеспечения с момента опубликования его отчета.

 По мнению Де Грота хакеры, стоящие за этой схемой, продолжают находить новые сайты для взлома. «В прошлый понедельник мои сканы обнаружили около 5 900 взломанных сайтов», - сказал он. «Когда я сделал еще одно сканирование через два дня, я обнаружил, что около 340 из них были исправлены, но еще 170 были скомпрометированы».

Согласно анализу исследователя, на многих взломанных сайтах работает устаревшее программное обеспечение для электронной коммерции или управления контентом. В других случаях, кажется, что злоумышленники просто угадали пароли, необходимые для администрирования сайтов.

Кроме того, по его словам, злоумышленники вставляют свои вредоносные программы в базы данных сайтов, а не в часть веб-сервера, используемого для хранения HTML и других компонентов, которые отвечают за  то, как сайт выглядит для посетителей.

«Вот почему я думаю, что это останется под пристальным наблюдением какое-то время, - сказал Де Гроот. «Поскольку некоторые компании используют проверки файловой системы, чтобы при малейших изменениях из вне они получали уведомление, предупреждающее о том, что что-то не так».

К сожалению, те же самые системы проверки, как правило, не настроены на поиск изменений в файлах базы данных сайта, пояснил он, поскольку они, как ожидается, будут постоянно меняться, например, когда добавляется новый заказ клиента на товар.          Большинство организаций с которыми общались по поводу взлома отрицали факт покушения или да же такую возможность. Они утверждали, что используют технологию   SSL, которая в конечном итоге шифрует информацию клиентов.

Многие интернет организации не понимают, что подобно тому, как на базе ПК троянские программы могут украсть данные из веб-браузеров жертв, так же веб-программы-шпионы могут занести вирус и получить всю интересующую их информацию. Разница между ними лишь в том, что они предназначены для кражи данных из приложений Web сервера.

ПК-трояны получают информацию двумя основными методами: - обход паролей хранящихся в браузере и проведение «форменного захвата» - захват любых имеющихся данных введенных в поле браузера, прежде чем жертва успевает произвести шифрование. Web-пользователи, так же могут произвести захват, извлекая форменные сведенья предоставленные посетителями, в том числе имена, адреса, номера телефонов, номера кредитных карт и их пароли по мере того, как клиенты передают данные в процессе онлайн-проверки.

Все эти атаки имеют лишь один неизменный пункт, говорящий о роли вредоносного ПО, подрывающего защитные соединения: будь то на веб-сервере или на компьютере конечного пользователя, если какая-либо точка скомпрометирована, то для данного web-сайта безопасная  «игра закончена».