Tám thành phố của Mỹ có dữ liệu thẻ thanh toán bị đánh cắp

Hơn 20 ngàn hồ sơ thẻ thanh toán đã bị thu thập thông tin từ các cổng thanh toán Click@Gov của 8 thành phố tại Mỹ trong một đợt tấn công lần thứ hai tiếp theo đợt tấn công lớn vào năm ngoái, theo một công ty theo dõi dữ liệu thẻ thanh toán bị đánh cắp.

Công ty Gemini Advisory cho biết các hồ sơ bị đánh cắp đang được rao bán trên một thị trường ngầm. Công ty đã tiếp cận với các thành phố bị ảnh hưởng nằm ở 5 tiểu bang. Mặc dù không có phản hồi từ một số thành phố, các cổng Click2Gove của họ đã bị đóng.

Click2Gove được phát triển bởi CentralSquare Technologies, cung cấp cho công dân một phương thức thuận tiện để thanh toán các hóa đơn tiện ích, vé đậu xe và các hóa đơn chi tiêu trong thành phố.

CentralSquare Technologies đã được thông báo vào tháng 9/2018 sau khi sáp nhập với Superion, TriTech Software System, Zuercher Technologies và Aptean để trở thành một công ty phát triển phần mềm lớn nhất cho khu vực công. Click2Gov được phát triển bởi Superion.

Trong một tuyên bố được cung cấp cho Information Security Media Group, CentraoSquare cho biết “một lượng nhỏ” khách hàng đã báo cáo truy cập trái phép ảnh hưởng tới dữ liệu thẻ tín dụng tiêu dùng trên máy chủ của khách hàng. Công ty cho biết họ đang hợp tác chặt chẽ với các chuyên gia anh ninh pháp y và các cơ quan điều tra. Công ty cũng đã ngay lập tức tiến hành phân tích sâu rộng và liên hệ với khách hàng sử dụng dùng phần mềm này và cũng đang làm việc với họ để giữ cho hệ thống của họ được cập nhật và bảo vệ. Tại thời điểm này chỉ có một số lượng nhỏ các khách hàng báo cáo truy cập trái phép. Vì lý do an ninh và bảo mật, công ty không tiết lộ thông tin về khách hàng, môi trường hoặc sự an toàn của khách hàng.

Tuy nhiên CentralSquare Technologies đã đưa ra tuyên bố chi tiết hơn cho DataBreachs.net. Công ty thừa nhận rằng phần mềm Click2Gov có một lỗ hổng nhưng nói rằng chỉ chứa đựng một số lượng ít khách hàng của Click2Gov và đã bị đóng cửa. Công ty đã không phản hổi cho ISMG khi được yêu cầu xác nhận  rằng lỗ hổng phần mêm là nguyên nhân của việc dữ liệu bị đánh cắp.

Stas Alforove – Giám độc nghiên cứu và pháp triển của Gemini Avisory cho biết Gemini Advisory đã tiếp cận một số thành phố bị ảnh hưởng, tất cả đều tin rằng họ đang chạy các phiên bản đã được vá hoàn toàn của Click2Gov.

Một số thành phố bị xâm phạm trong các cuộc tấn công mới nhất  cũng đã bị tấn công từ năm 2017 đến cuối năm 2018, khi Gemini Advisory báo cáo có 300 ngàn hồ sơ thanh toán đã được lấy từ hệ thống Click2Gov của 46 thành phố ở Mỹ và 1 thành phố ở Canada đã được bán. Gemini Advisory ước tính doanh số của những hồ sơ này tạo ra hơn $1.9 triệu đô la.

Alforov nói rằng kể từ các cuộc tấn công đó, các thành phố đã trở nên cảnh giác và siêng năng hơn trong việc vá lỗi mặc dù họ chỉ có các bộ phận IT nhỏ. Tuy nhiên, nếu bọn tội phạm cố gắng hết sức, chúng có thể đột nhập vào bất cứ thứ gì.

Vòng tấn công của Click ToGov dầu tiên xảy ra vào năm 2017 và đã diễn ra vào năm ngoái. Superion đã thừa nhận một suej cố vào tháng 10 năm 2017 và sau đó viết một bản cập nhật vào tháng 6/2018 nói rằng nó đã giúp khách hàng vá lỗi. Tên miền cũ của Superion hiện hay đã được chuyển hướng sang website CentralSquare, và các bản cập nhật dường như chỉ có trong Wayback Machine.

Vào tháng 9/2018, công ty bảo mật máy tính FireEye đã viết rằng họ nhận thấy một chiến dịch nhắm mục tiêu cài đặt tại chỗ của Click2Gov. FireEye đã viết rằng họ không chắc chắn về cách những kẻ tấn công ban đầu đã xâm phạm máy chủ của Click2Gov, nhưng chúng bắt đầy bằng cách tải lên một webshell có tên là SjavaWebManage.

FireEyes viết: Thông qua tương tác với webshell, kẻ tấn công đã kích hoạt chế độ gỡ lỗi trong tệp cấu hình của Click2Gov khiến ứng dụng ghi thông tin thẻ thanh toán và các tệp nhật ký văn bản gốc. Kẻ tấn công sau đó tải lên một công cụ mà FireEyes gọi là FIREALARM, đến webserver để phân tích các tệp nhật ký này, truy xuất thông tin thẻ thanh toán và xóa tất cả các mục nhật ký không chứa thông tin báo lỗi.

Một công cụ thứ hai mà FireEye gọi là SPOTLIGHT đã được sử dụng để chặn thông tin thẻ thanh toán khỏi lưu lượng truy cập web.

FireEyes viết: Công cụ này cung cấp cho những kẻ tấn công ở lại lâu hơn trên máy chủ và tiếp tục thu thập dữ liệu thẻ thanh toán, đảm bảo dữ liệu khai thác sẽ không bị mất nếu bị mất các tệp nhật ký Click2GovCX đã bị xóa bởi các quản trị viên.

Ai đứng đằng sau các cuộc tấn công

FireEye nói rằng các nhóm tấn công Click2Gov vào năm ngoái dường như đã không liên quan đến các nhóm tấn công khác mà chủ yếu nhắm mục tiêu vào lĩnh vực tài chính. Có thể một cá nhân đã tiến hành các cuộc tấn công, nhwung nhiều khả năng các cuộc tấn công là công việc của một nhóm. Công ty cho biết.

FireEye viết: Với cách thức hoạt động của các diễn đàn và thị trường ngầm, có thể việc phát triển công cụ đã được ký hợp đồng với bên thứ ba và truy cập từ xa vào các hệ thống bị xâm nhập có thể đạt được bởi một thực thể và bị bán cho bên khác. Còn nhiều điều chưa được khám phá về kẻ tấn công này.

Alforov cho biết Gemini Advisory đã tham gia vào đợt tấn công thứ hai sau khi phát hiện các địa chỉ thanh toán thẻ liên quan đến các thành phố bị tấn công, điều này có phần bất thường ở các thị trường ngầm. Ôn nói rằng các thành phố bị tấn công đều đang cố gắng tìm ra dữ liệu của những người bị xâm phạm để gửi thông báo.

Card-not-present data là thuật ngữ cho chi tiết thanh toán cho các giao dịch được hoàn thành mà không có thẻ vật lý, thường được đưa ra bán nhanh chóng khi nó vẫn hòn hiệu lực và có thể được sử dụng để lừa đảo. Không có nhiều động lực để họ (những kẻ lừa đảo) giữ những dữ liệu đánh khắp trong thời gian dài, Alforove nói.

Theo Govinforsecurity

Tin khác