Analyse ESET : Backdoor ModPipe s'infiltre spécifiquement dans le système de point de vente d'Oracle. Un programme malveillant attaque le système de point de vente populaire pour les restaurants.
Les cybercriminels utilisent la porte dérobée ModPipe pour cibler les systèmes de point de vente ORACLE MICROS Restaurant Enterprise Sales (RES) 3700 Point-of-Sale (POS). Le système est une suite logicielle de gestion répandue qui est utilisée par des centaines de milliers dans les établissements gastronomiques tels que les bars, les restaurants ou les hôtels. ModPipe a une structure modulaire et peut être adapté de manière flexible à l'emplacement respectif. Après une infection réussie, les attaquants accèdent aux informations confidentielles de l'opérateur telles que les données personnelles ou les données de transaction. Les chercheurs d'ESET ont maintenant publié leur analyse approfondie sur WeLiveSecurity.
Backdoor a une structure modulaire
"La structure de ModPipe indique que les développeurs à l'origine du logiciel malveillant ont une connaissance approfondie du système de point de vente RES 37000", explique le chercheur d'ESET Martin Smolár, qui a découvert ModPipe. « Nous avons trouvé et analysé ses composants de base pour la première fois en 2019. Celles-ci ont évidemment été améliorées. "
Ce qui rend la porte dérobée si spéciale, ce sont les modules téléchargeables. ModPipe inclut un algorithme personnalisé qui collecte les mots de passe de la base de données RES 3700 POS. Pour ce faire, il déchiffre les valeurs de registre Windows, ce qui souligne la connaissance approfondie des attaquants du système POS. Ils ont choisi une méthode aussi sophistiquée au lieu de collecter les données via une approche plus simple mais aussi plus évidente telle que l'enregistrement de frappe. Les informations d'identification divulguées permettent aux opérateurs derrière le programme malveillant d'accéder au contenu de la base de données, y compris diverses configurations, tableaux d'état et informations sur les transactions POS. Cependant, avec la variante analysée de ModPipe, les attaquants n'ont pas accès aux données sensibles telles que les numéros de carte de crédit et les dates d'expiration. Ces informations sont en outre protégées par cryptage. La cible des attaquants reste donc floue car ils reçoivent peu d'informations précieuses. Les chercheurs d'ESET soupçonnent qu'il existe un autre module téléchargeable qui permet aux criminels de déchiffrer les données les plus sensibles.
Ce que les utilisateurs du système de point de vente doivent faire
Pour garder les opérateurs derrière ModPipe sous contrôle, les parties prenantes de l'industrie hôtelière, ainsi que toute autre entreprise utilisant le RES 3700 POS, sont invitées à faire ce qui suit :
- La dernière version du logiciel POS doit être installée.
- En général, il est élémentaire que le système d'exploitation et les autres logiciels installés sur les appareils utilisés soient toujours à jour.
- Un logiciel de sécurité fiable et multicouche qui détecte ModPipe et les menaces similaires doit être utilisé.
En savoir plus sur WeLiveSecurity sur ESET.com