Supply-chain útok zasáhl stovky e-shopů: Zákazníci jsou také v ohrožení
Kybernetická bezpečnost čelí další výzvě. Výzkumníci z bezpečnostní společnosti Sansec odhalili masivní supply-chain útok zaměřený na e-commerce platformy. Útočníci pronikli do softwarových balíčků tří poskytovatelů rozšíření pro systém Magento a infikovali minimálně 500 webů škodlivým kódem. Zasaženi jsou provozovatelé obchodů i jejich zákazníci, kterým hrozí zcizení platebních údajů přímo při nákupu.
Dormantní malware čekal šest let
Útok je výjimečný v několika ohledech. Největší znepokojení vyvolává fakt, že škodlivý kód byl aktivován až po šesti letech spánku, během nichž se zřejmě podařilo napadený software šířit mezi stovky, možná i tisíce obchodníků. Až nyní začal škodlivý skript aktivně spouštět kód v prohlížečích návštěvníků e-shopů.
Sansec varuje, že dopad může být obrovský. Útok zasáhl minimálně jednoho nadnárodního klienta s obratem přes 40 miliard dolarů. Jméno firmy zatím nebylo zveřejněno, ale bezpečnostní odborníci upozorňují, že „globální náprava je stále velmi omezená“.
Jak útok funguje?
V jádru útoku stojí PHP backdoor, který umožňuje útočníkům spouštět libovolný kód na serveru obchodu. Ten pak do stránek injektuje skimmer – škodlivý JavaScript, který se aktivuje v prohlížeči každého návštěvníka a nepozorovaně odesílá citlivá data, jako jsou údaje z platebních karet, adresy nebo přihlašovací informace.
V typické podobě útok využívá nenápadnou PHP funkci s názvem adminLoadLicense, která načítá soubor $licenseFile a spouští jeho obsah. Pokud je v požadavku tajný klíč, útočník získává úplnou kontrolu nad e-shopem.
protected function adminLoadLicense($licenseFile)
{
$data = include_once($licenseFile);
}
Následuje řetězec funkcí, který končí spuštěním kódu na straně návštěvníka. Jedná se o typický modus operandi tzv. Magecart útoků.
Zdroj: Shutterstock
Kdo je za útokem?
Z kompromitovaných poskytovatelů Sansec jmenoval tři hlavní:
- Tigren
- Magesolution (MGS)
- Meetanshi
Všichni tři vyvíjejí rozšíření pro Magento, open-source platformu, kterou od roku 2018 vlastní Adobe. Čtvrtý poskytovatel, Weltpixel, je v podezření, ale zatím nebylo potvrzeno, zda byl infikován jeho software nebo přímo jeho zákazníci.
Sansec tvrdí, že Tigren a MGS stále distribuují infikované verze svých doplňků, zatímco Meetanshi útok popírá, ale přiznává kompromitaci. Nikdo z dotčených firem se k incidentu oficiálně nevyjádřil.
Které moduly jsou nakažené?
Sansec identifikoval celkem 21 infikovaných rozšíření. Zde je jejich přehled podle poskytovatele:
Tigren
- Ajaxsuite
- Ajaxcart
- Ajaxlogin
- Ajaxcompare
- Ajaxwishlist
- MultiCOD
Meetanshi
- ImageClean
- CookieNotice
- Flatshipping
- FacebookChat
- CurrencySwitcher
- DeferJS
MGS
- Lookbook
- StoreLocator
- Brand
- GDPR
- Portfolio
- Popup
- DeliveryTime
- ProductTabs
- Blog
Co mohou správci e-shopů dělat?
Pokud provozujete e-shop na bázi Magenta a používáte některý z výše uvedených doplňků, okamžitě proveďte důkladnou bezpečnostní kontrolu. Doporučuje se hledat výskyt podezřelé funkce adminLoadLicense a prohledat server na přítomnost skriptů, které obsahují výrazy jako $licenseFile.
Sansec zároveň poskytuje nástroje pro detekci a odstranění infekce. Důrazně doporučuje:
- Odpojit napadený e-shop od internetu
- Provést forenzní analýzu a audit změn
- Změnit přístupové údaje ke všem účtům
- Informovat zákazníky a dodržet zákonné oznamovací povinnosti (např. GDPR)
Proč je tento útok nebezpečný?
Supply-chain útoky mají devastující účinek, protože neútočí přímo na oběť, ale na její důvěryhodné dodavatele. V tomto případě infikovaný software koloval v ekosystému Magento po dobu několika let, aniž by si toho kdokoli všiml. Skrytý kód se mohl snadno dostat i do prostředí, která podléhají přísné regulaci, jako jsou zdravotnické nebo finanční služby.
Kombinace dlouhé nečinnosti a náhlé aktivace činí tento útok výjimečným. Vzniká otázka, kolik dalších dodavatelských řetězců je podobně kompromitovaných, aniž by to kdokoli věděl.
Tento incident je důrazným varováním nejen pro e-shopaře, ale i pro vývojáře a správce systémů. Důvěra v open-source ekosystém musí být vždy vyvážena důslednou bezpečnostní kontrolou. Pokud používáte Magento nebo jeho rozšíření, je nejvyšší čas prověřit, co se ve vašem systému skutečně skrývá.