Una de las aerolíneas mas grandes de Reino Unido, British Airways, reportó un grave ataque en su seguridad el pasado 6 de septiembre, donde se vieron comprometidos los datos de las tarjetas de crédito de 380,000 clientes. Tras desconocer el alcance de esta violación y el origen, unos especialistas en seguridad se dieron la tarea de investigar y han identificado el ataque.
Una reconocida firma de seguridad, ha publicado un informe completo en torno al ataque efectuado a British Airways.
Si bien, la aerolínea publicó en su sitio web detalles como que se vieron afectados usuarios de su plataforma web y la app móvil, así como la fecha en que empezaron los robos de datos: «Los pagos se vieron afectados a partir de las 22:58 BST del 21 de agosto de 2018 hasta las 21:45 BST del 5 de septiembre de 2018.» No dieron mayor información a nivel de seguridad.
No obstante, la firma de seguridad se basó en estos antecedentes para identificar a los atacantes:
Debido a que estos informes solo cubren datos de clientes robados directamente de los formularios de pago, inmediatamente sospechamos de un grupo: Magecart.
Mencionando que es el mismo ataque sufrido por la empresa de eventos TicketMaster UK, en junio pasado. Como la empresa ha rastreado el uso de skimmers (clonadores de tarjetas) operados por MageCart desde el 2016, explicaron su modus operandi.
De acuerdo con el reporte, Magecart inyecta scripts desarrollados para robar datos confidenciales de las tarjetas de crédito o débito, que los clientes ingresan en formularios de pago en línea, en sitios web de comercio electrónico directamente o a través de proveedores de terceros afectados.
Detectar el malware en el sitio web de la aerolínea no fue tarea fácil, dado que las técnicas implementadas por los investigadores no fueron efectivas, les tocó aplicar ingeniería inversa y estudiar las funciones JavaScript integradas en el sitio.
Tras verificar el comportamiento y estructura de los scripts en el sitio web, registraron un cambio en la librería Modernizr de JavaScript : «vimos que este script era una versión modificada de la biblioteca de Modernizr JavaScript, versión 2.6.2 para ser precisos.»
El script se cargó desde la página de información de reclamo de equipaje en el sitio web de British Airways: «El cambio observado se encontraba en la parte inferior del script, una técnica que a menudo vemos cuando los atacantes modifican los archivos JavaScript para no romper la funcionalidad. »
La pequeña etiqueta de script en la parte inferior inmediatamente levantó nuestras sospechas.
Asimismo, un cambio en los encabezados del servidor enviados por British Airways revelaban la fecha de la ultima versión limpia de este plugin, y luego notaron la versión modificada de Modernizr, así como el inicio del ataque.
Al analizar cada línea del script malicioso, como se ve en la imagen de arriba, este simplemente hace uso de los eventos del mouse y botón que se ejecutan al cargar el sitio. Tras procesar los datos, los enviaba en forma de JSON a un servidor llamado baways.com (el servidor del atacante).
El dominio fue alojado en 89.47.162.248 que se encuentra en Rumania y, según el reporte, es parte de un proveedor de VPS llamado Time4VPS con sede en Lituania. Los maleantes también cargaron el servidor con un certificado SSL.
