Информационная безопасностьНовости

Незащищенная база MongoDB помогла разоблачить кампанию по отмыванию денег через мобильные игры

ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию денег.

Представители Министерства юстиции США, инженеры компании Apple и разработчики игр из компании Supercell предупредили пользователей об обнаружении крупной кампании по отмыванию денег. Злоумышленники использовали фальшивые аккаунты Apple и игровые профили, чтобы совершать транзакции с использованием ворованных банковских карт. Преступники покупали в играх различные валюты и инструменты, а затем перепродавали их через интернет, возвращая себе «чистые» деньги.

Незащищенная база MongoDB помогла разоблачить кампанию по отмыванию денег через мобильные игры
Перепродажа внутриигровых ресурсов

Кампанию  случайно обнаружили аналитики компании Kromtech Security. В июне 2018 года специалисты нашли в сети незащищенную базу MongoDB (доступную без аутентификации), содержимое которой оказалось крайне интересным.

«Изучая БД, мы быстро поняли, что это не обычная корпоративная база данных. БД принадлежала похитителям банковских карт (кардерам) и была сравнительно новой, созданной всего несколько месяцев назад», — рассказывает специалист Kromtech Security Боб Дьяченко (Bob Diachenko) в блоге компании.

Так, БД содержала данные о 150 833 банковских картах 19 различных банков, включая их полные номера, CCV и дату истечения срока действия. По мнению Дьяченко, информацию о картах преступники, скорее всего, закупали оптом, на черном рынке. Дело в том, что данные в базе были сгруппированы равными порциями по 10, 20, 30 тысяч штук.

Незащищенная база MongoDB помогла разоблачить кампанию по отмыванию денег через мобильные игры
Количество «пользовательских» аккаунтов, созданных кардерами

Эксперт пишет, что кардерская группировка фокусировалась на Apple App Store, хотя исследователям удалось обнаружить и некоторые наработки кардеров для Google Play Store. Группа использовала специальный автоматизированный инструмент для создания iOS-аккаунтов, связанных с действительными почтовыми ящиками. После к новым iOS-аккаунтам привязывали украденные банковские карты. Другое автоматизированное решение злоумышленники применяли для установки различных игр на джейлбрейкнутые iOS-устройства, создания внутриигровых учетных записей и последующей покупки в этих играх разнообразных премиальных функций.

По данным исследователей, для этих целей преступники использовали игры Clash of Clans и Clash Royale, созданные компанией Supercell, а также игру Marvel Contest of Champions, принадлежащую фирме Kabam.

Судя по информации, обнаруженной в вышеупомянутой базе MongoDB, автоматические инструменты кардеров были настроены таким образом, чтобы создавать аккаунты, имитирующие живых пользователей из Саудовской Аравии, Индии, Индонезии, Кувейта и Мавритании.

Незащищенная база MongoDB помогла разоблачить кампанию по отмыванию денег через мобильные игры
Схема работы преступной группы

О своей неожиданной находке эксперты Kromtech Security сообщили не только правоохранительным органам и разработчикам игр, но и представителям компании Apple. Дело в том, что злоумышленники злоупотребляли почти полным отсутствием контрольных мер при привязке к iOS-аккаунту банковских карт. Эксперты критикуют Apple за то, что даже карты с неверными адресами и именами легко проходили проверки и могли использоваться преступниками.

Также критике специалистов подверглись и разработчики игр. Дело в том, что их приложения фактически не имеют защиты от автоматизированных инструментов, вроде Racoonbot, который применяли кардеры, и те без труда скупают премиальные функции в играх, не вызывая ни у кого никаких подозрений.