Vào thứ Sáu, British Airways đã tiết lộ một vụ xâm nhập dữ liệu ảnh hưởng đến thông tin khách hàng từ khoảng 380,000 giao dịch đặt vé được thực hiện từ ngày 21 tháng 8 đến ngày 5 tháng 9 năm nay. Công ty cho biết tên, địa chỉ, địa chỉ email và chi tiết thẻ thanh toán nhạy cảm đều bị ảnh hưởng. Bây giờ, các nhà nghiên cứu từ công ty phát hiện mối đe dọa RiskIQ đã đưa ra ánh sáng mới về cách nhóm tấn công thực hiện vụ cướp.
RiskIQ công bố chi tiết theo dõi chiến lược của nhóm hacker British Airways vào thứ Ba, cũng liên kết xâm nhập này với một băng nhóm hacker tội phạm hoạt động từ năm 2015. Nhóm này, mà RiskIQ gọi là Magecart, nổi tiếng với việc lấy cắp thẻ tín dụng trên web—tìm kiếm các trang web không bảo vệ các biểu mẫu nhập dữ liệu thanh toán và hút mọi thứ được gửi đi. Nhưng trong khi Magecart trước đây đã sử dụng cùng một mã mục tiêu rộng để lấy dữ liệu từ nhiều bộ xử lý bên thứ ba khác nhau, RiskIQ phát hiện rằng cuộc tấn công vào British Airways được tinh chỉnh nhiều hơn cho cơ sở hạ tầng cụ thể của công ty.
"Chúng tôi đã theo dõi nhóm Magecart từ rất lâu và một trong những phát triển trong năm 2017 là... họ bắt đầu đầu tư thời gian vào mục tiêu để tìm cách xâm nhập các công ty có uy tín cao cụ thể, như Ticketmaster," nói Yonathan Klijnsma, nghiên cứu mối đe dọa của RiskIQ. "Chúng tôi xem xét vụ tấn công British Airways như là một phần của chiến dịch này, trong đó họ đã thiết lập cơ sở hạ tầng chuyên biệt mô phỏng trang nạn nhân."
Trong thông báo ban đầu, British Airways nói rằng vụ xâm nhập không ảnh hưởng đến số hộ chiếu hoặc các dữ liệu du lịch khác. Tuy nhiên, sau đó công ty làm rõ rằng dữ liệu bị chiếm đóng bao gồm ngày hết hạn thẻ thanh toán và mã xác minh thẻ (CVV)—những số có ba hoặc bốn chữ số thêm vào để xác minh một thẻ—mặc dù British Airways đã nói rằng họ không lưu trữ CVV. British Airways cũng chú ý rằng vụ việc chỉ ảnh hưởng đến khách hàng hoàn thành giao dịch trong một khoảng thời gian cụ thể—từ 22:58 BST ngày 21 tháng 8 đến 21:45 BST ngày 5 tháng 9.
Những chi tiết này làm nhiệm vụ như một manh mối, dẫn dắt các nhà phân tích tại RiskIQ và nơi khác nghi ngờ rằng nhóm hacker của British Airways có thể đã sử dụng một cuộc tấn công 'cross-site scripting,' trong đó các hành động xấu nhận diện một thành phần trang web không an toàn và tiêm mã code riêng của họ vào để thay đổi hành vi của trang nạn nhân. Cuộc tấn công không nhất thiết phải xâm nhập vào mạng lưới hoặc máy chủ của tổ chức, điều này có thể giải thích tại sao hacker chỉ truy cập thông tin được gửi trong một khoảng thời gian cụ thể và dữ liệu bị chiếm đoạt mà chính British Airways không lưu trữ.
Klijnsma, người đặt vết cho vụ việc vi phạm Ticketmaster gần đây cho Magecart và nhận thấy sự tương đồng với tình hình của British Airways, bắt đầu lục lọi trong danh mục dữ liệu web công cộng của RiskIQ; công ty duyệt hơn hai tỷ trang mỗi ngày. Anh xác định tất cả các đoạn mã duy nhất trên trang web của British Airways, có thể bị tấn công trong cuộc tấn công 'cross-site scripting,' và sau đó theo dõi chúng qua thời gian cho đến khi anh tìm thấy một thành phần JavaScript đã được sửa đổi ngay vào thời điểm mà hãng hàng không nói rằng cuộc tấn công bắt đầu.
Kịch bản này liên kết với trang thông tin đòi lại hành lý của British Airways; lần cuối cùng nó được sửa đổi trước vụ việc là tháng 12 năm 2012. Klijnsma nhanh chóng nhận ra rằng những kẻ tấn công đã sửa đổi thành phần để thêm mã code—chỉ có 22 dòng—thường được sử dụng trong những thao tác bí mật. Mã độc hại này thu thập dữ liệu mà khách hàng nhập vào một biểu mẫu thanh toán, và gửi nó đến một máy chủ được điều khiển bởi kẻ tấn công khi người dùng nhấp hoặc chạm vào nút gửi. Người tấn công thậm chí trả tiền để thiết lập một chứng chỉ Secure Socket Layer cho máy chủ của họ, một giấy chứng nhận xác nhận rằng một máy chủ có mã hóa web được bật để bảo vệ dữ liệu trong quá trình truyền. Mọi loại tấn công ngày càng sử dụng những chứng chỉ này để tạo ra một không khí uy tín—mặc dù một trang web được mã hóa không nhất thiết an toàn.
Hãng hàng không cũng nói trong thông báo của mình rằng vụ tấn công ảnh hưởng đến người dùng di động. Klijnsma tìm thấy một phần của ứng dụng Android của British Airways được xây dựng dựa trên cùng một mã code như phần bị chiếm đóng trên trang web của hãng hàng không. Điều này là điều bình thường khi chức năng của ứng dụng dựa vào một phần trên cơ sở hạ tầng web hiện có, nhưng thực hành này cũng có thể tạo ra rủi ro chung. Trong trường hợp của ứng dụng Android của British Airways, thành phần JavaScript độc hại mà những kẻ tấn công tiêm vào trang chính đã tác động đến ứng dụng di động cũng. Người tấn công có vẻ đã thiết kế kịch bản này với ý này bằng cách hỗ trợ đầu vào cảm ứng.
Mặc dù cuộc tấn công không phức tạp, nhưng nó hiệu quả, vì nó được điều chỉnh theo các lỗ hổng cụ thể trong kịch bản và luồng dữ liệu của trang web của British Airways.
British Airways nói trong một tuyên bố đến blog.mytour.vn vào thứ Ba, "Do đây là một cuộc điều tra hình sự, chúng tôi không thể bình luận về sự suy đoán."1 RiskIQ nói rằng họ đã chuyển thông tin cho Cơ quan An ninh Quốc gia và Trung tâm An ninh Mạng Quốc gia của Anh, đang điều tra vụ việc cùng với British Airways. "Chúng tôi đang hợp tác với đối tác để hiểu rõ hơn về sự kiện này và cách nó ảnh hưởng đến khách hàng," một người phát ngôn của NCSC nói về vụ việc vào thứ Sáu.
RiskIQ nói rằng họ đang đặc trách sự cố này cho Magecart vì mã đánh cắp được tiêm vào trang web của British Airways là một phiên bản sửa đổi của kịch bản đặc trưng của nhóm. RiskIQ cũng xem xét cuộc tấn công này như là một sự tiến hóa của các kỹ thuật được sử dụng trong vụ việc vi phạm Ticketmaster gần đây, mà RiskIQ liên kết với Magecart, tuy nhiên, với sự sáng tạo thêm về việc trực tiếp nhắm vào trang web của nạn nhân thay vì chiếm đoạt một bên thứ ba. Và một số cơ sở hạ tầng tấn công, như máy chủ web và tên miền, cũng chỉ đến nhóm.
Cho đến nay, British Airways và cảnh sát chưa bình luận công khai về sự liên kết này, nhưng Klijnsma nói rằng điều quan trọng khác cho đến bây giờ là sự phổ biến của các lỗ hổng nhỏ trên trang web có thể nhanh chóng biến thành những rủi ro lớn.
"Vấn đề là biết về các tài sản của bạn trên web," Klijnsma nói. "Không quá mức tiếp xúc—chỉ tiếp xúc những gì bạn cần. Hậu quả, như thấy trong vụ việc này, có thể thực sự, thực sự tồi tệ."
1Cập nhật 11/9/18 10:15 giờ sáng giờ Mỹ Đông để bao gồm một tuyên bố từ British Airways.
0 Thích