Magecart : au moins six groupes, des milliers de sites Web compromis

Newegg, British Airways, Ticketmaster, ou encore des clients du service Feedify… Ces quelques noms en cachent de très nombreux autres, ceux des multiples sites de commerce en ligne dont les systèmes de paiement ont été compromis par l’un des groupes de la nébuleuse Magecart. Pour mémoire, ceux-ci visent les sites animés par Magento pour dérober des détails de cartes bancaires. Et la mécanique apparaît bien huilée.

Dans un rapport commun, les analystes de RiskIQ et de Flashpoint font en effet état de plus de 6 300 sites Web ayant été affectés, à un moment ou un autre. Le fait de six groupes. Mais selon les analystes, il convient de compter sur plus : « nous avons là six groupes bien définis », sur la base de l’infrastructure et des outils utilisés, ainsi que des pratiques de ciblage, mais « la liste n’est ni définitive, ni complète ». De la même manière, le décompte des victimes est susceptible d’être en réalité supérieur à ce que les analystes ont été capables d’observer. Tout simplement parce que ces observations se basent sur des examens de sites Web et que « nous ne parcourons pas tous les sites Web d’Internet ; nous essayons, mais nous ne voyons pas tout ».

Le premier groupe étudié a commencé ses activités en 2015, mais l’un des plus prolifiques est apparu en 2017. D’autres ont émergé cette année. Certaines compromissions ont été relativement brèves et n’ont duré qu’un mois ou deux, comme pour Flashtalking* ou Pushassist, voire quelques jours pour Shopper Approved. Mais celle d’un service comme Clarity Connect s’est étalée sur près d’un an, de mai 2017 à juillet 2018 !

Selon RiskIQ et Flashpoint, British Airways et Newegg ont été victimes du groupe 6. Apparu cette année, on ne lui compte que ces deux victimes à ce stade. Mais il affiche une approche « sélective », ne visant que des cibles de haute volée de sorte que « même s’il ne réussit à maintenir son [code de vol de détails de cartes bancaires] que pour une courte période, le seul volume de transactions sur le site Web de la victime va assurer un retour sur investissement élevé ».

Le groupe 7 est moins pointilleux. Mais il utilise une technique d’exfiltration qui rend la lutte difficile : il s’appuie sur des sites Web tiers légitimes qu’il a au préalable réussi à compromettre ; les domaines correspondants ne peuvent pas être simplement réquisitionnés pour mettre fin à la collecte de détails de cartes bancaires. L’intervention nécessite donc la coopération de l’éditeur du site détourné « pour supprimer [le code malicieux] sans détruire les indices d’enquête ».

Pour les analystes de RiskIQ et de Flashpoint, le principal vecteur d’attaque sur les sites animés par Magento n’est autre que la force brute ou l’énumération de mots de passe pour accéder aux interfaces d’administration. Mais ceux qui parviennent à prendre ainsi pied sur un site Web ne sont pas forcément ceux qui déposent du code malicieux permettant de dérober des détails de cartes bancaires : « les communautés et les places de marché underground vendant des accès à des sites Web compromis sont de plus en plus populaires dans l’écosystème cyber-délinquant ». Et de mentionner notamment l’une d’entre elles, MagBo, apparue en début d’année. Selon Flashpoint, on y trouverait quelques milliers de sites.

Les analystes soulignent que « compte tenu de l’étendue des brèches survenues, il n’est simplement pas faisable de contacter chaque victime dans un délai raisonnable » en cas de compromission. Dès lors, ils se concentrent sur la perturbation des activités des cyber-délinquants en prenant le contrôle des domaines qu’ils utilisent pour injecter leur code malicieux ou exfiltrer les données collectées.

Mais il n’est pas possible, encore une fois, de tout voir seul. Dès lors, les analystes « aimeraient appeler l’industrie, et tous ceux qui découvrent ces attaques, à aider à les interrompre ». Et cela peut simplement passer par une prise de contact avec les analystes. Leur rapport s’achève sur une liste d’indicateurs de compromission associés aux groupes considérés.

*[Mise à jour 16.11.2018] Flashtalking conteste d'être mentionné comme victime dans le rapport conjoint de RiskIQ et Flashpoint. Toutefois, RiskIQ indique pouvoir démontrer que le code malveillant de Magecart a été actif durant la période mentionnée dans le rapport. Et d'ajouter : "nous sommes heureux de travailler avec Flashtalking et de leur fournir les informations qui les aideront à comprendre l'étendue de la compromission".