ESET

ESET-onderzoekers hebben ModPipe ontdekt, een modulaire backdoor die zijn operatoren toegang geeft tot gevoelige informatie opgeslagen op toestellen met ORACLE MICROS Restaurant Enterprise Series (RES) 3700 POS (point-of-sale) - een suite van beheersoftware gebruikt door honderdduizenden bars, restaurants, hotels en andere horecazaken wereldwijd. Het merendeel van de geïdentificeerde doelen waren in de Verenigde Staten.

Advertentie

Wat de backdoor typeert, zijn de downloadbare modules en hun mogelijkheden. Het bevat immers een aangepast algoritme, ontworpen om wachtwoorden van de RES 3700 POS-database te verzamelen door ze te decoderen uit Windows-registerwaarden. Dit toont aan dat de auteurs van de backdoor een grondige kennis hebben van de software waarop ze doelen en voor deze geavanceerde methode hebben gekozen in plaats van de gegevens te verzamelen via een eenvoudigere maar “luidere” benadering, zoals keylogging. Geëxfiltreerde inloggegevens verlenen de operatoren van ModPipe toegang tot database-inhoud, inclusief verschillende definities en configuraties, statustabellen en informatie over POS-transacties.

“Op basis van de documentatie van RES 3700 POS zouden de aanvallers echter geen toegang moeten hebben tot de meest gevoelige informatie – zoals creditcardnummer en vervaldatum – die door versleuteling beschermd wordt. De enige klantgegevens die ongecodeerd zijn opgeslagen en dus voor de aanvallers beschikbaar zijn, zouden de naam van kaarthouders moeten zijn ”, waarschuwt ESET-onderzoeker Martin Smolár, die ModPipe ontdekte.

“De meest intrigerende onderdelen van ModPipe zijn wellicht de downloadbare modules. We kennen hun bestaan ​​sinds eind 2019, toen we voor het eerst de basiscomponenten ontdekt en geanalyseerd hebben”, aldus Smolár.

Downloadbare modules:

• GetMicInfo richt zich op gegevens met betrekking tot de MICROS POS, inclusief wachtwoorden gekoppeld aan twee namen van databasegebruikers, vooraf gedefinieerd door de fabrikant. Deze module kan deze databasewachtwoorden onderscheppen en decoderen met behulp van een speciaal ontworpen algoritme.

• ModScan 2.20 verzamelt aanvullende informatie over de geïnstalleerde MICROS POS-omgeving op de machines door het scannen van geselecteerde IP-adressen.

• ProcList, met als voornaamste doel het verzamelen van informatie over momenteel lopende processen op de machine.

“De architectuur, modules en hun mogelijkheden van ModPipe geven ook aan dat de ontwikkelaars uitgebreide kennis hebben van de beoogde RES 3700 POS-software. De vaardigheid van de operatoren kan voortvloeien uit meerdere scenario’s, waaronder het stelen en reverse engineering van het eigen softwareproduct, het misbruiken van gelekte onderdelen of het kopen van code van een ondergrondse markt, ”verduidelijkt Smolár.

Om de operatoren achter ModPipe op afstand te houden, worden potentiële slachtoffers in de horeca en andere bedrijven die de RES 3700 POS gebruiken, geadviseerd om:

•  De nieuwste versie van de software te gebruiken.

•  Het enkel op apparaten met een bijgewerkt besturingssysteem en software te gebruiken.

• Betrouwbare meerlagige beveiligingssoftware te gebruiken die ModPipe en vergelijkbare bedreigingen kan detecteren.

Lees voor meer technische details “Hungry for data, ModPipe backdoor targets popular POS software used in hospitality sector,” een blogpost op www.WeLiveSecurity . Zorg ervoor dat je ESET Research on Twitter  volgt voor het laatste nieuws over ESET Research.

Advertentie

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here