Afacerea care le permite hackerilor să se dea drept tine

Un reprezentant al hackerilor care a spart site-ul companiei EA a zis că a cumpărat cookie-ul de pe un site numit Genesis Market.
22.6.21
cookies hackeri computere sparte
Imagine: Cathryn Virginia  

La începtulul lunii iulie, Motherboard a dezvăluit că hackerii au furat o grămadă de informații de la compania de jocuri video Electronic Arts, inclusiv cod sursă de la motorul Frostbite și jocul FIFA 21. Hackerii au zis că au făcut asta cu ajutorul unui cookie pe care l-au cumpărat cu zece dolari și care le-a permis să se logheze în contul EA oficial, după care au păcălit suportul IT de la EA să le dea acces la rețeaua internă a companiei.

Publicitate

Acum, un reprezentant al hackerilor a declarat pentru Motherboard de unde au cumpărat cookie-ul: de pe Genesis Market, un site underground unde se intră pe bază de invitație și unde hackerii pot cumpăra cookie-uri luate de pe computere hackuite.

„Le poți filtra după URL”, a zis reprezentantul hackerilor EA într-un chat online, și a specificat că infractorii pot căuta după domenii precum Slack sau Okta, servicii populare de securitate cibernetică, care au scopul de a proteja informațiile unei companii.

„De exemplu, .okta.com, .enterprise.slack.com, etc”, a scris acesta.

Mai multe companii de securitate cibernetică și publicații au scris despre site în ultimii ani. Dar asocierea lui cu o breșă de securitate la o companie faimoasă demonstrează că a devenit tot mai relevant în mediul digital underground.

Cookie-urile sunt niște fișiere mici stocate pe calculatorul tău, care dețin tot felul de informații. Uneori pot fi utilizate de firmele de publicitate ca să urmărească activitatea de pe un site pe altul, alteori sunt folosite pentru stocarea informațiilor de logare, ca să te țină logat pe diverse site-uri. Pe Genesis, infractorii nu cumpără un singur cookie; cumpără acces exclusiv la un bot, un calculator compromis care face parte dintr-o rețea de astfel de calculatoare care poate conține oricâte informații de logare. Dar, și mai important, Genesis le permite clienților să reproducă o copie a browser-ului victimei, cu cookie-urile și amprentele pentru dispozitive intacte.

„Practic, cineva îți oferă o mască perfectă”, a zis Matthew Gracey-McMinn, șef de cercetare la firma de securitate cibernetică Netacea, care a investigat piața Genesis. În unele cazuri, datele cumpărate de la Genesis îi permiteau hackerului să treacă de verificarea în doi pași, pentru că serviciul logat nu îi mai cerea utilizatorului să dea codul din telefon. Practic, hackerul și victima par aceeași persoană în ochii calculatorului, a adăgat Gracey-McMinn.

hacker cookie

Un screenshot cu un bot care conține informații de logare. Imagine de Gracey-McMinn.

În timp ce boții sunt folosiți adesea pentru redirecționarea traficului unui hacker ca poliția să nu-i găsească locația, Genesis prezintă oportunitatea de a diversifica fluxul de venit al proprietarului unei rețele de boți, a zis Gracey-McMinn.

„Suntem pe calculatoarele astea, vedem tot ce se întâmplă în ele. De ce să nu extrafiltrăm aceste informații despre logare, amprente, tot sistemul”, a zis el.

Publicitate

Când selectezi un bot pentru cumpărare, Genesis îți arată ce site-uri sunt incluse, conform screenshot-urilor de la Gracey-McMinn și Dan Woods, de la firma de securitate cibernetică F5, care a investigat și ea Genesis. Un bot de vânzare avea cinci mii de cookie-uri de pe site-uri precum Facebook, Spotify, Reddit, Pinterest, Apple, Netflix, Binance, GitHub, Steam, Instagram, Adobe, Amazon, Google, Tumblr, Twitter, Dropbox, PayPal, LinkedIn, NvidiaStore, EANetwork și Slack. 

Atât Gracey-McMinn, cât și Woods, au zis că o căutare despre boții de pe piață cu termenul Slack a avut 3500 de rezultate. Numărul listelor a crescut substanțial cu aproape patru sute de mii de exemplare disponibile, conform ambilor cercetători.

Site-ul are o interfață foarte bună și eficientă. Woods ne-a arătat cum a comunicat cu administratorii site-ului în timp ce utiliza piața. Toți vorbeau o engleză perfectă.

hacker

După ce cumpără un bot, hackerii preiau informațiile de logare incluse în cookie-uri, precum adrese și parole de e-mail, și accesează site-urile relevante. Sau pot utiliza un plugin de browser oferit de Genesis care le permite să folosească informația expusă pentru a imita victima la un nivel mai convingător. Pentru asta, Genesis creează un fișier de configurare – masca menționată de Gracey-McMinn anterior – pe care hackerii îl importă în propriul browser. Primul fișier e gratuit, dar, apoi, clienții trebuie să plătească dacă vor să genereze noi fișiere de configurare bazate pe cookie-uri și pe informațiile din browser.

Și sunt alimentați mereu cu informații noi, pentru că Genesis îi pune la curent încontinuu cu noile date care apar.

Publicitate

„Dacă am cumpărat devreme, am făcut un târg bun. Am luat ceva ce ar valora sute de dolari cu șaptezeci de cenți”, a zis Gracey-McMinn.

Gracey-McMinn a zis că e de părere că Genesis e o piață cu un singur vânzător, pentru că doar un grup mic de persoane vinde informații extrase prin malware. Woods crede că fondatorii genesis au populat piața, inițial, cu elemente colectate cu propriul lor malware și apoi le-au permis și altora să își vândă produsele. El crede asta pentru că, din sutele de mii de boți de pe piață, mulți au același sub-string.

„Credem că acesta e asociat cu un anumit grup de vânzători”, a declarat Woods pentru Motherboard.

Ambii cercetători cred că informația de pe Genesis e folosită pentru atacuri în lumea reală. Woods a zis că a analizat zeci de atacuri asociate cu Genesis, dar a avertizat că cele în care hackerii au folosit informațiile de logare și nu plugin-ul sunt mai greu de detectat.

Incidentul de la EA a arătat că și organizațiile mari sunt expuse atacurilor prin intermediul cookie-urilor compromise.

„Avem de-a face cu niște profesioniști, nu cu niște hoți de buzunare”, a zis Gracey-McMinn despre administratorii Genesis.