Sikkerhedsforsker: Republikansk webshop hacket - sendte betalingskortoplysninger til russisk server i seks måneder

En republikansk website har været inficeret med ondsindet kode, som har sendt kortoplysninger til et sted i Rusland, vurderer hollandsk sikkerhedsforsker.

Hvis du den senere tid har bestilt en 'Never Hillary'-sticker fra en webshop tilknyttet det amerikanske parti Republikanerne, så er der måske god grund til at holde et vågent øje med dine kontoudtog.

I hvert fald fortæller den hollandske sikkerhedsforsker Willem de Groot i et detaljeret indlæg, at webshoppen under 'Senate Republicans' har været hacket i de seneste seks måneder.

Det vil sige, at der har været lagt ondsindet kode på sitet, som har skimmet betalingskortoplysninger. Oplysningerne har de Groot forsket sig frem til er endt på en russisk server. Der ligger en længere efterforskning bag den konklusion, som i øvrigt kan læses i sin helhed i indlægget.

Under de Groots Github ligger flere værktøjer relateret til e-commerce-platformen Magento. Blandt andet et værktøj kaldet MageScan, der har til formål at scanne efter sikkerhedsproblemer på webshops sat op med e-commerce-softwaren Magento.

To domæner

Ifølge de Groot har skimmingen af betalingskort-oplsyninger fundet sted fra https://store.nrsc.org/ i perioden 16. marts i år og frem til 5. oktober. Altså for få dage siden. Willem de Groot oplyser i den forbindelse, at sitet blev sikret 6. oktober, men Republikanerne ikke er kommet med nogen oplysninger i den forbindelse.

Betalingskort-oplysningerne er ifølge de Groot trukket ud af shoppen via to forskellige høstnings-domænder, henholdvis jquery-cloud.net og jquery-code.su

»Den ældste høster, jquery-cloud.net, blev registreret i december 2015 af en amerikansk dame med et kinesisk faxnummer og en falsk mail-adresse. Den nyeste høster, jquery-code.su, er registreret anonymt per 24. august (i år, red.),« oplyser de Groot i sit indlæg.

Han har også fundet frem til, at begge domæner ligger hos et firma kaldet Dataflow.

Dataflow har et russisk-sproget website, og firmaet er registreret i det mellemamerikanske land Belize 3. november 2015. Adressen som firmaet ligger på, dukker også op i de såkaldte Panama-papirer, bemærker de Groot.

I forhold til den ondsindede kode på https://store.nrsc.org/ , så er der tale om javascript.

»Den opdagede javascript-kode kører skjult i browseren og aktiveres, når tekst bliver indtastet på betalingssiden. Alt tekst bliver så kopieret og - igen skjult i baggrunden - sendt til en udenlandsk server,« skriver de Groot i et andet indlæg.

I indlægget går han længere ned i de tekniske detaljer omkring det ondsindede javascript.

»Denne kløgtige form for kort-skimming har stået på i et stykke tid, mindst siden marts. De skyldige gemmer sig bag et skuffeselskab i Belize. Deres forretning er hastigt voksende, hvilket jeg vil illustrere i min næste post,« lyder den afsluttende cliffhanger i de Groots indlæg.

Det kommer iøvrigt ikke ind på, hvordan sitet er blevet inficeret i første omgang. På Reddit fortæller de Groot, under aliasset Gwillem, at det skyldes gammel og upatched software.

I den forbindelse bemærker han i øvrigt, at det nye site, der er sat up for at erstatte den sårbare kode, skulle være en uddateret Wordpress.

Willem de Groot har desuden begået en video, hvor han gennemgår lyssky setup.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nicolai Oe

Logikken ligger i at russerne tidligere er blevet taget i at samle data/info om Clintons kampagne, så det er vist ikke noget skud i tågen at vende blikket mod dem som synderen. Desuden står Putin og Trump offentligt frem med deres venskab, så...

Log ind eller Opret konto for at kommentere