Μια νέα επίθεση από hackers μπορεί να έχει θέσει σε κίνδυνο χιλιάδες websites. Όπως έγινε γνωστό, κάποιοι hackers επιτέθηκαν σε δύο υπηρεσίες, οι οποίες έχουν σχεδιαστεί για websites. Οι υπηρεσίες αυτές είναι η Alpaca Forms και η Picreel. Η παραβίασή τους μπορεί να έχει ως αποτέλεσμα τη μόλυνση 4.600 websites με κακόβουλο κώδικα.
Με τον κακόβουλο κώδικα, οι hackers έχουν τη δυνατότητα να αποκτήσουν όλα τα δεδομένα που εισάγονται στις φόρμες. Δεν γνωρίζουμε ακριβώς πώς κατάφεραν οι hackers να παραβιάσουν τις υπηρεσίες, αλλά υπάρχει η υποψία ότι παραβίασαν το CDN της Cloud CMS και τροποποίησαν ένα από τα scripts της υπηρεσίας. Η Cloud CMS ανέπτυξε την υπηρεσία ανοιχτού κώδικα Alpaca Forms πριν από περίπου 8 χρόνια.
Τις επιθέσεις ανακάλυψε ο ερευνητής Willem de Groot. Σύμφωνα με πληροφορίες, όταν η Cloud CMS ενημερώθηκε για το περιστατικό παραβίασης, απενεργοποίησε το CDN, που εξυπηρετούσε το κακόβουλο script.
Λίγα λόγια για τις παραβιασμένες υπηρεσίες
Η υπηρεσία ανοιχτού κώδικα Alpaca Forms βοηθά στη δημιουργία HTML5 φορμών για εφαρμογές για κινητά και το διαδίκτυο. Η υπηρεσία προσφέρει πολλές δυνατότητες και διευκολύνει τους χρήστες στη δημιουργία φόρμας, καθώς χρησιμοποιεί JSON Schema και Handlebars.
Ο CTO της Cloud CMS, Michael Uzquiano, δήλωσε ότι έχει παραβιαστεί μόνο ένα JavaScript αρχείο της Alpaca Forms στην υπηρεσία CDN.
Όπως είπαμε και παραπάνω, ο κακόβουλος κώδικας καταγράφει τις πληροφορίες που εισάγονται στις φόρμες. Συνήθως, πρόκειται για κωδικούς, οικονομικά δεδομένα, πληρωμές και άλλα. Στη συνέχεια, στέλνει αυτές τις πληροφορίες σε έναν server, που βρίσκεται στον Παναμά και ελέγχεται από τους hackers.
Η υπηρεσία Picreel παρακολουθεί τις κινήσεις των επισκεπτών των sites (κινήσεις ποντικιού σε πραγματικό χρόνο). Με αυτό τον τρόπο, οι ιδιοκτήτες των sites γνωρίζουν τις προτιμήσεις των χρηστών και εμφανίζουν στοχευμένες διαφημίσεις. Υποτίθεται ότι στα sites υπάρχει ενσωματωμένος ένας JavaScript κώδικας, που επιτρέπει στην υπηρεσία να κάνει τη δουλειά της. Αυτόν τον κώδικα έχουν παραβιάσει οι hackers και έχουν προσθέσει κακόβουλο λογισμικό.
Ο κακόβουλος κώδικας στο Picreel script έχει βρεθεί σε 1.249 websites, ενώ ο κώδικας στο Alpaca Forms έχει βρεθεί σε 3.435 domains.
Η Cloud CMS, αφού απενεργοποίησε το CDN με το κακόβουλο script, ξεκίνησε έρευνα. Σύμφωνα με τα λεγόμενά της, δεν υπάρχει κανένα πρόβλημα με την Cloud CMS, τους πελάτες ή τα προϊόντα.
Πάντως φαίνεται ότι πίσω και από τις δυο επιθέσεις βρίσκονται οι ίδιοι hackers.
