Кіберзлочинці викрадають дані з урядових порталів США

Раніше невідоме кіберзлочинне угруповання несе відповідальність за низку зламів, про які повідомляють місцеві уряди по всій території США. За даними експертів компанії FireEye, невідомі зловмисники зламали сервери Click2Gov і встановили на них шкідливе програмне забезпечення для викрадення даних банківських карток.

Click2Gov є популярним рішенням для здійснення платежів з власним сервером від американської компанії Superion. Здебільшого ним користуються урядові установи як у невеликих містах, і у мегаполісах. Click2Gov використовується для оплати комунальних послуг, штрафів тощо.

Як повідомляє FireEye, кіберзлочинне угруповання атакує сервери Click2Gov вже майже рік. Швидше за все, зловмисники експлуатують уразливість в одному з компонентів рішення (сервер програми Oracle WebLogic Java EE) для доступу до порталів та встановлення web-оболонки SJavaWebManage. З її допомогою вони активують режим налагодження, який починає реєструвати платежі, включаючи дані платіжних карток.

Ця ж оболонка також використовується для завантаження на сервер, що атакується раніше невідомого шкідливого ПО FIREALARM і SPOTLIGHT. Перший призначений для синтаксичного аналізу реєстру Click2Gov у пошуках даних банківських карток, а другий здатний ідентифікувати та вилучати платіжні дані з HTTP-трафіку.

На яких саме серверах Click2Gov та в яких містах було виявлено шкідливе програмне забезпечення, дослідники не повідомляють. Однак відомо, що місцева влада в низці населених пунктів вже вживає відповідних заходів щодо його видалення.