Киберпреступники похищают данные с правительственных порталов США

Ранее неизвестная киберпреступная группировка несет ответственность за ряд взломов, о которых сообщают местные правительства по всей территории США. По данным экспертов компании FireEye, неизвестные злоумышленники взломали серверы Click2Gov и установили на них вредоносное ПО для похищения данных банковских карт.

Click2Gov представляет собой популярное решение для осуществления платежей с собственным сервером от американской компании Superion. В основном им пользуются правительственные учреждения как в небольших городах, так и в мегаполисах. Click2Gov используется для оплаты коммунальных услуг, штрафов и пр.

Как сообщает FireEye, киберпреступная группировка атакует серверы Click2Gov уже почти год. Скорее всего, злоумышленники эксплуатируют уязвимость в одном из компонентов решения (сервере приложения Oracle WebLogic Java EE) для доступа к порталам и установки web-оболочки SJavaWebManage. С ее помощью они активируют режим отладки, который начинает регистрировать платежи, включительно с данными платежных карт.

Эта же оболочка также используется для загрузки на атакуемый сервер ранее неизвестного вредоносного ПО FIREALARM и SPOTLIGHT. Первый предназначен для синтаксического анализа реестра Click2Gov в поисках данных банковских карт, а второй способен идентифицировать и извлекать платежные данные из HTTP-трафика.

На каких именно серверах Click2Gov и в каких городах было обнаружено вредоносное ПО, исследователи не сообщают. Однако известно, что местные власти в ряде населенных пунктов уже предпринимают соответствующие меры по его удалению.

Источник