ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию денег.
Представители Министерства юстиции США, инженеры компании Apple и разработчики игр из компании Supercell предупредили пользователей об обнаружении крупной кампании по отмыванию денег. Злоумышленники использовали фальшивые аккаунты Apple и игровые профили, чтобы совершать транзакции с использованием ворованных банковских карт. Преступники покупали в играх различные валюты и инструменты, а затем перепродавали их через интернет, возвращая себе «чистые» деньги.
Кампанию случайно обнаружили аналитики компании Kromtech Security. В июне 2018 года специалисты нашли в сети незащищенную базу MongoDB (доступную без аутентификации), содержимое которой оказалось крайне интересным.
«Изучая БД, мы быстро поняли, что это не обычная корпоративная база данных. БД принадлежала похитителям банковских карт (кардерам) и была сравнительно новой, созданной всего несколько месяцев назад», — рассказывает специалист Kromtech Security Боб Дьяченко (Bob Diachenko) в блоге компании.
Так, БД содержала данные о 150 833 банковских картах 19 различных банков, включая их полные номера, CCV и дату истечения срока действия. По мнению Дьяченко, информацию о картах преступники, скорее всего, закупали оптом, на черном рынке. Дело в том, что данные в базе были сгруппированы равными порциями по 10, 20, 30 тысяч штук.
Эксперт пишет, что кардерская группировка фокусировалась на Apple App Store, хотя исследователям удалось обнаружить и некоторые наработки кардеров для Google Play Store. Группа использовала специальный автоматизированный инструмент для создания iOS-аккаунтов, связанных с действительными почтовыми ящиками. После к новым iOS-аккаунтам привязывали украденные банковские карты. Другое автоматизированное решение злоумышленники применяли для установки различных игр на джейлбрейкнутые iOS-устройства, создания внутриигровых учетных записей и последующей покупки в этих играх разнообразных премиальных функций.
По данным исследователей, для этих целей преступники использовали игры Clash of Clans и Clash Royale, созданные компанией Supercell, а также игру Marvel Contest of Champions, принадлежащую фирме Kabam.
Судя по информации, обнаруженной в вышеупомянутой базе MongoDB, автоматические инструменты кардеров были настроены таким образом, чтобы создавать аккаунты, имитирующие живых пользователей из Саудовской Аравии, Индии, Индонезии, Кувейта и Мавритании.
О своей неожиданной находке эксперты Kromtech Security сообщили не только правоохранительным органам и разработчикам игр, но и представителям компании Apple. Дело в том, что злоумышленники злоупотребляли почти полным отсутствием контрольных мер при привязке к iOS-аккаунту банковских карт. Эксперты критикуют Apple за то, что даже карты с неверными адресами и именами легко проходили проверки и могли использоваться преступниками.
Также критике специалистов подверглись и разработчики игр. Дело в том, что их приложения фактически не имеют защиты от автоматизированных инструментов, вроде Racoonbot, который применяли кардеры, и те без труда скупают премиальные функции в играх, не вызывая ни у кого никаких подозрений.