ESET Analizi: Arka Kapı ModPipe, özellikle Oracle'ın POS sistemine sızar. Kötü amaçlı program, restoranlar için popüler POS sistemine saldırır.
Siber suçlular, ORACLE MICROS Restaurant Enterprise Sales (RES) 3700 Satış Noktası (POS) POS sistemlerini hedeflemek için ModPipe arka kapısını kullanıyor. Sistem, barlar, restoranlar veya oteller gibi gastronomi işletmelerinde yüz binlerce kişi tarafından kullanılan yaygın bir yönetim yazılım paketidir. ModPipe modüler bir yapıya sahiptir ve ilgili yere esnek bir şekilde uyarlanabilir. Başarılı bir bulaşmanın ardından saldırganlar, operatörün kişisel verileri veya işlem verileri gibi gizli bilgilerine erişim elde eder. ESET araştırmacıları, WeLiveSecurity hakkındaki kapsamlı analizlerini şimdi yayınladılar.
Backdoor modüler bir yapıya sahiptir.
ModPipe'ı keşfeden ESET araştırmacısı Martin Smolár, "ModPipe'ın yapısı, kötü amaçlı yazılımın arkasındaki geliştiricilerin RES 37000 POS sistemi hakkında kapsamlı bilgiye sahip olduğunu gösteriyor" diye açıklıyor. “Temel bileşenlerini ilk kez 2019'da bulduk ve analiz ettik. Bunlar açıkça geliştirildi. "
Arka kapıyı bu kadar özel yapan indirilebilir modüllerdir. ModPipe, RES 3700 POS veritabanı parolalarını toplayan özel bir algoritma içerir. Bunu yapmak için, Windows kayıt defteri değerlerinin şifresini çözer ve bu, saldırganların POS sistemi hakkındaki derin bilgilerinin altını çizer. Verileri keylogging gibi daha basit ama aynı zamanda daha belirgin bir yaklaşımla toplamak yerine böylesine karmaşık bir yöntemi seçtiler. Sızan kimlik bilgileri, kötü amaçlı programın arkasındaki operatörlerin çeşitli yapılandırmalar, durum tabloları ve POS işlemleriyle ilgili bilgiler dahil olmak üzere veritabanı içeriğine erişmesine olanak tanır. Bununla birlikte, ModPipe'ın analiz edilen varyantı ile saldırganlar, kredi kartı numaraları ve son kullanma tarihleri gibi hassas verilere erişemezler. Bu bilgiler ayrıca şifreleme ile korunmaktadır. Saldırganların hedefi bu nedenle belirsizliğini koruyor çünkü çok az değerli bilgi alıyorlar. ESET araştırmacıları, suçluların daha hassas verilerin şifresini çözmesine izin veren başka bir indirilebilir modülün olduğundan şüpheleniyor.
POS sistemi kullanıcılarının yapması gerekenler
ModPipe'ın arkasındaki operatörleri kontrol altında tutmak için konaklama endüstrisindeki paydaşların yanı sıra RES 3700 POS kullanan diğer işletmelere aşağıdakileri yapmaları önerilir:
- POS yazılımının en son sürümü kurulmalıdır.
- Genel olarak kullanılan cihazlarda işletim sisteminin ve diğer kurulu yazılımların her zaman güncel olması esastır.
- ModPipe ve benzeri tehditleri tespit eden güvenilir, çok katmanlı güvenlik yazılımları kullanımda olmalıdır.
ESET.com adresindeki WeLiveSecurity'de daha fazla bilgi edinin