Posté le septembre 23, 2019 à 21:39
UNE NOUVELLE SÉRIE D’ATTAQUES LIÉES À CLICK2GOV FRAPPE DES PORTAILS INTERNET DANS HUIT VILLES ET CINQ ÉTATS
Lors des célèbres attaques perpétrées en 2017 et 2018, l’activité cybercriminelle a compromis les systèmes de Click2Gov, un service permettant aux gens de payer leurs factures, dans plusieurs villes et lieux aux États-Unis d’Amérique.
Par conséquent, les hackers ont réussi à pirater 300 000 cartes de paiement et ont empoché environ 2 millions de dollars au total. Mais maintenant, un autre lot d’attaques a affecté la plate-forme et a transféré des milliers d’enregistrements et de données pertinentes sur le Dark Web beaucoup plus dangereuse, selon ce que les spécialistes sur le terrain ont déclaré cette semaine.
L’histoire a été initialement rapportée par Ars Technica. Le nouveau lot de piratages a commencé le mois dernier et les cybercriminels ont réussi à pirater les systèmes de Click2Gov dans huit endroits différents. Sur ces huit pays, six ont déjà été touchés par les attentats de 2017 et 2018, selon un article publié par Gemini Advisory, une société de sécurité.
Systèmes de sécurité mis à jour
Le plus inquiétant dans cette histoire est que la majorité des sites piratés utilisaient déjà des systèmes de sécurité modernes, qui sont censés être protégés contre les vulnérabilités récentes. Par conséquent, l’industrie ne sait toujours pas exactement comment les hackers ont réussi à compromettre les portails.
Click2Gov est un logiciel de paiement de factures utilisé par plusieurs entreprises et municipalités pour faciliter la mise en place d’une plateforme permettant à la communauté de payer une myriade de services et de services publics, y compris les frais de parking. Elle permet également aux utilisateurs d’effectuer d’autres types de transactions ou d’opérations.
Christopher Thomas et Stas Alforov, deux chercheurs et spécialistes de la société Gemini Advisory, ont informé que la deuxième vague d’attaques de piratage des systèmes Click2Gov rend le site vulnérable malgré la présence des correctifs. Ils ont souligné que les organisations et les institutions sont chargées de surveiller leurs systèmes pour éviter les failles potentielles, ainsi que de mettre à jour régulièrement leurs correctifs.
Une autre évolution inquiétante a eu lieu : plus de 20 000 dossiers, remplis d’informations précieuses, ont été détournés lors de la deuxième vague de piratage et ont été proposés sur le « dark web », plus précisément sur les forums des malfaiteurs.
Les lecteurs constateront peut-être que seules huit villes de cinq États ont été touchées par la nouvelle vague d’attaques de Click2Gov, mais la réalité indique qu’il s’agit d’un problème sensible et que les titulaires de cartes des 50 États ont été compromis. Bien que tous les titulaires de carte ne vivent pas dans l’un de ces huit endroits, il se peut qu’ils aient effectué une transaction avec un portail compromis, exposant ainsi leur carte et leurs renseignements à un grand danger.
Sites compromis
Jusqu’à présent, les sites Web compromis de Click2Gov sont ceux de Deerfield Beach (Floride), Palm Bay (Floride), Milton (Floride), Bakersfield (Californie), Coral Springs (Floride), Pocatello (Idaho), Broken Arrow (Oklahoma) et Ames (Iowa.)
CentralSquare Technologies, l’entreprise à l’origine de la stratégie marketing de Click2Gov, a déclaré qu’elle avait reçu de nombreux rapports faisant état de violations ou d’accès non autorisés aux informations relatives aux cartes de crédit des clients, mais que ces cas se produisent dans des villes et des lieux spécifiques.
Le cabinet a également noté qu’il effectue des analyses forensiques et entre en contact avec les clients qui utilisent l’outil, travaillant sans relâche pour mettre à jour et protéger leurs systèmes. Selon eux, seulement quelques clients ont déclaré avoir eu accès sans autorisation à leurs comptes et aux informations relatives à leur carte.
Un shell web
Selon une publication de FireEye à partir de 2018, le première vague d’attaques de piratage a généralement commencé lorsque les cybercriminels en question ont téléchargé un shell web sur les serveurs compromis de la plate-forme Click2Gov. La personne mentionnée a fait passer les systèmes en mode débogage.
La partie la plus dangereuse était lorsque le shell Web écrivait des informations relatives aux cartes de paiement dans des fichiers de texte en clair. À ce moment, les hackers ont téléchargé deux ressources personnalisées supplémentaires : la « Firealarm » qui analysait les historiques et extrayait les informations de la carte de crédit, ainsi que la suppression de toutes les entrées qui ne présentaient aucun message d’erreur. L’autre a été surnommé « Spotlight » et a été utilisé pour intercepter les données des cartes de paiement du trafic associé au protocole HTTP.
Selon le post de FireEye, on ne connaissait pas le protocole utilisé par les cybercriminels pour perpétrer leurs attaques. Cependant, la publication indique qu’ils ont, très probablement, utilisé un exploit célèbre pour cibler Oracle Web Logic, donnant aux hackers la possibilité de télécharger des fichiers arbitraires ou d’accéder aux serveurs à distance.
