Breach di British Airways, ecco come è avvenuto

Le 22 linee di codice aggiunte dagli hacker

Un ricercatore dell’azienda di sicurezza RiskIQ ha analizzato l’attacco ai clienti di British Airways in un post nel blog aziendale, nel quale si attribuisce la paternità dell’azione criminale al gruppo noto come Magecart.

Per rubare i dati relativi alle transazioni gli hacker hanno modificato una libreria JavaScript usata all’interno del sito – di per sé legittima – nota come Modernizr. Dai dati raccolti pare che tale libreria non venisse cambiata dal 2012, poi improvvisamente il 21 agosto, alle ore 20:49 GMT, la libreria ha visto l’aggiunta di 22 linee di codice. Il codice è molto semplice, poiché non fa altro che inviare a un server controllato dai cybercriminali i dati della form di pagamento, ma solo dopo che l’utente ha fatto clic sul tasto invio del modulo, o con il mouse (quindi da computer, intercettando l’evento mouseup) oppure con un tocco sul touchscreen (quindi da dispositivo mobile, intercettando l’evento touchend).

I dati venivano inviati in formato JSON a un server con IP 89.47.162.248, che secondo il ricercatore si trova fisicamente in Romania, ma che appartiene a un provider Lituano. Da notare il dominio usato per il server degli hacker, baways.com, che a un’occhiata superficiale potrebbe sembrare un dominio appartenente a British Airways.

Le modalità dell’operazione e il livello di personalizzazione fanno intuire come il gruppo abbia preparato l’attacco con cura, studiando il punto migliore dove inserire il codice malevolo e preparando gli asset con settimane di anticipo (il certificato del server usato dagli hacker è stato emesso il 15 agosto).

Il gruppo Magecart, attivo dal 2015, è specializzato nel furto di dati finanziari e negli anni ha messo a segno numerosi colpi, come ad esempio quello contro Ticketmaster avvenuto fra febbraio e giugno di quest’anno.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.