Платежные данные пользователей интернет-магазинов под управлением платформы для электронной коммерции Magento, занимающей 30% мирового рынка, стали целью масштабной хакерской атаки. В России на опасной версии платформы работают около 450 сайтов, уже скомпрометирован как минимум 41 из них. В атаке используется уязвимость, которая продавалась в августе на одном из хакерских форумов русскоязычным продавцом всего за $5 тыс.
Рисунок: Виктор Чумачев, Коммерсантъ
На интернет-магазины под управлением CMS (Content Management System; система управления содержимым) Magento (разработчик — Adobe) зафиксирована масштабная хакерская атака: за пять дней по всему миру было скомпрометировано 2,7 тыс. сайтов, из них 41 — в зоне .ru, рассказал “Ъ” основатель нидерландской компании в сфере информационной безопасности Sanguine Security Виллем де Грот. Цель атаки — платежные данные пользователей интернет-магазинов, доступ к которым злоумышленники получают, внедрив вредоносный код.
Известно о нескольких десятках российских сайтов, зараженных этой угрозой, а количество пользователей в России, столкнувшихся с ней, составило около 10 тыс. человек, подтвердила аналитик киберугроз «Лаборатории Касперского» Виктория Власова. В компании отметили, что приняли меры для прекращения функционирования вредоносных сайтов, использующихся в атаке.
В Sanguine Security полагают, что хакеры автоматизировали процесс взлома и использовали уязвимость, которая в августе продавалась вместе с видеоинструкцией на одном из хакерских форумов русскоязычным продавцом за $5 тыс.
Анализ кода показал, что информация со скомпрометированных ресурсов отправляется на расположенный в Москве ресурс, добавляют в компании. Уязвимость содержится в первой версии Magento, поддержку которой Adobe прекратила 30 июня.
Согласно статистике использования первой версии Magento, в России около 450 потенциально уязвимых сайтов, отмечает директор блока экспертных сервисов компании BI.Zone Евгений Волошин. Российские банки и интернет-магазины обычно используют дополнительные механизмы защиты карт, например, подтверждение трансакций по СМС, поэтому атака не должна представлять существенной угрозы, полагает он. Но уязвимость существует, потенциально сайты могут использоваться злоумышленниками для других атак, в том числе распространения вредоносного софта, добавляет эксперт.
Всего Magento занимает около 30% мирового рынка платформ для электронной коммерции и предназначена для крупных интернет-магазинов, отмечает технический директор Check Point Software Technologies в России и СНГ Никита Дуров.
Популярность Magento объясняется тем, что это преимущественно бесплатная CMS, отмечает главный редактор проекта «Рейтинг рунета» Анатолий Денисов. В «Рейтинге рунета» Magento находится на третьем месте среди бесплатных CMS для интернет-магазинов. В базе проекта есть информация о 220 сайтах на Magento. Среди них интернет-магазины Auchan, «Снежная королева», Nyx Cosmetic, La Roche Posay, Vichy, Redken, Urban Decay, Kiehl’s, Pandora, Togas, Canon, Nespresso, Converse и др. В компаниях оперативно не ответили на запросы “Ъ”.
По данным проекта «Технический центр Интернет», в домене .ru насчитывается чуть больше 500 доменов, привязанных к Magento, в домене .рф — 36, в .su — пять. Агентство iTrack насчитывает 3,1 тыс. сайтов зоны .ru, использующих Magento, что составляет 0,26% от общего числа.
За атакой стоит группировка MageCart, полагают в Sanguine Security.
Ее нередко связывали с русскоязычными киберпреступниками. В 2018 году MageCart взломала сайт и заразила страницы приема платежей авиакомпании British Airways, получив доступ к данным платежных карт пассажиров. Предыдущая кампания MageCart, направленная на Magento, была зафиксирована летом 2019 года, тогда хакерам за сутки удалось взломать около 1 тыс. интернет-магазинов, отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Проблемы с безопасностью были у Magento и ранее, подтверждает Никита Дуров. Например, в 2015 году исследователи Check Point обнаружили критическую уязвимость в этой платформе, которая позволяла неавторизованному злоумышленнику обойти механизмы безопасности и получить контроль над магазином и всей его базой данных.