Η Twilio αποκάλυψε ότι το TaskRouter JS SDK έχει παραβιαστεί από εγκληματίες του κυβερνοχώρου μετά την απόκτηση πρόσβασης σε ένα από τα Amazon AWS S3 buckets της, που άφησε το SDK εκτεθειμένο για περίπου πέντε χρόνια.
Η Twilio είναι μια εταιρεία CPaaS (cloud communications platform as a service) που υποστηρίζει επικοινωνίες για περισσότερες από 40.000 επιχειρήσεις και βοηθά τους προγραμματιστές να προσθέσουν δυνατότητες φωνής, βίντεο, μηνυμάτων και ελέγχου ταυτότητας στις εφαρμογές τους, χρησιμοποιώντας τα API της Twilio.
Η λίστα πελατών της εταιρείας περιλαμβάνει: Twitter, Netflix, Uber, Shopify, Morgan Stanley, Airbnb, Wix, Spotify, Yelp, Hulu, Intuit, ING, eBay και πολλές άλλους.
Σύμφωνα με την Twilio, οι επιτιθέμενοι εισήγαγαν τον κακόβουλο κώδικα μόνο στην έκδοση 1.20 του TaskRouter JS SDK library.
“Λόγω της μη σωστής διαμόρφωσης του S3 bucket, που φιλοξενούσε τη βιβλιοθήκη, ένας hacker μπόρεσε να εισαγάγει κώδικα που έκανε τον browser του χρήστη να φορτώσει μια διεύθυνση URL που έχει συσχετιστεί με τις Magecart επιθέσεις“, δήλωσε ο Twilio.
Το κακόβουλο SDK ήταν διαθέσιμο για τουλάχιστον 24 ώρες
Η εταιρεία λέει ότι οι ομάδες ασφαλείας της αντικατέστησαν την κακόβουλη TaskRouter JS SDK βιβλιοθήκη και ασφάλισαν το S3 bucket μέσα σε μία ώρα από τη στιγμή που ενημερώθηκαν για την επίθεση.
“Την Κυριακή 19 Ιουλίου, μάθαμε για μια αλλαγή που έγινε σε μια Javascript βιβλιοθήκη… Μια τροποποιημένη έκδοση του TaskRouter JS SDK μεταφορτώθηκε στο site μας στις 1:12 μ.μ. Λάβαμε μια ειδοποίηση σχετικά με το τροποποιημένο αρχείο στις 9:20 μ.μ. περίπου και το αντικαταστήσαμε περίπου στις 10:30 μ.μ.”, είπε η Twilio.
Όπως εξήγησε η εταιρεία, η τροποποιημένη βιβλιοθήκη TaskRouter JS SDK ενδέχεται να ήταν διαθέσιμη για έως και 24 ώρες μετά την αντικατάστασή της.
Η Twilio λέει ότι δεν έχει βρει στοιχεία (μέχρι στιγμής) που να αποδεικνύουν ότι ο επιτιθέμενος-οι απέκτησαν πρόσβαση σε πληροφορίες ή δεδομένα πελατών. Οι επιτιθέμενοι δεν μπόρεσαν, επίσης, να αποκτήσουν πρόσβαση σε κανένα από τα εσωτερικά συστήματα, τον κώδικα ή τα δεδομένα της Twilio.
Η εταιρεία έκανε έλεγχο και στα υπόλοιπα AWS S3 buckets και βρήκε αρκετά ακόμα που δεν ήταν σωστά ασφαλισμένα. Ωστόσο, δε έχουν επηρεαστεί άλλα SDK.
Η εταιρεία παρότρυνε τους πελάτες να αντικαταστήσουν το μολυσμένο SDK.
“Εάν έχετε κατεβάσει ένα αντίγραφο της έκδοσης v1.20 του TaskRouter JS SDK μεταξύ 19 Ιουλίου 2020 1:12 μ.μ. και 20 Ιουλίου, 10:30 μ.μ., θα πρέπει να κατεβάσετε ξανά το SDK και να αντικαταστήσετε την παλιά έκδοση με αυτήν που διαθέτουμε αυτήν τη στιγμή”.
Η σύνδεση με τις Magecart επιθέσεις
Όπως ανακάλυψε η Twilio, ο JavaScript κώδικας που εισήχθη, είναι ουσιαστικά ένας κακόβουλος redirector και συνδέεται με μια μακροχρόνια malvertising εκστρατεία γνωστή ως Hookads.
Η Hookads χρησιμοποιεί JavaScript redirectors για να ανακατευθύνει τους επισκέπτες των sites μέσω μιας σειράς δόλιων sites, που μοιάζουν με διαδικτυακές διαφημίσεις και διαδικτυακά παιχνίδια, με τελικό στόχο την εγκατάσταση malware payload χρησιμοποιώντας exploit kits.
Η Twilio διαπίστωσε ότι ο κακόβουλος κώδικας που εισήχθη στη TaskRouter JS SDK βιβλιοθήκη φορτώνει μια διεύθυνση URL από το gold.platinumus[.]top/track/awswrite και στη συνέχεια ανακατευθύνει σε άλλα sites, μπλοκάροντας τη χρήση του κουμπιού επιστροφής του browser, προσπαθώντας να συλλέξει δεδομένα που σχετίζονται με κινητές συσκευές.
“Αυτό το script προσπαθεί, επίσης, να συλλέξει δεδομένα σχετικά με το μέγεθος της οθόνης αφής του χρήστη και στοχεύει κινητές συσκευές”, δήλωσε η Twilio.
“Αυτή η συμπεριφορά είναι συνεπής με μια malvertising καμπάνια που σχετίζεται με τις Magecart επιθέσεις, οι οποίες στοχεύουν χρήστες κινητών συσκευών. Πιστεύουμε ότι η επίθεση είχε σχεδιαστεί για την προβολή κακόβουλων διαφημίσεων σε χρήστες“.