Бекдорні атаки на систему Oracle POS

Аналіз ESET: Backdoor ModPipe спеціально проникає в POS-систему Oracle. Шкідлива програма атакує популярну POS-систему для ресторанів.

Кіберзлочинці використовують бекдор ModPipe, щоб націлитися на POS-системи ORACLE MICROS Restaurant Enterprise Sales (RES) 3700 Point-of-Sale (POS). Ця система є широко поширеним програмним забезпеченням для керування, яке використовують сотні тисяч у гастрономічних закладах, таких як бари, ресторани чи готелі. ModPipe має модульну структуру і може бути гнучко адаптований до відповідного місця розташування. Після успішного зараження зловмисники отримують доступ до конфіденційної інформації оператора, такої як особисті дані або дані транзакцій. Дослідники ESET опублікували свій розширений аналіз на WeLiveSecurity.

Backdoor має модульну структуру

«Структура ModPipe вказує на те, що розробники, які стоять за шкідливим програмним забезпеченням, мають глибокі знання про систему POS RES 37000», — пояснює дослідник ESET Мартін Смолар, який відкрив ModPipe. «Ми вперше знайшли та проаналізували його основні компоненти у 2019 році. Вони, очевидно, були вдосконалені. "

Що робить бекдор таким особливим, так це модулі, які можна завантажити. ModPipe включає спеціальний алгоритм, який збирає паролі бази даних POS RES 3700. Для цього він розшифровує значення реєстру Windows, що підкреслює глибоке знання зловмисниками системи POS. Вони обрали такий складний метод замість збору даних за допомогою більш простого, але також більш очевидного підходу, такого як клавіатурний журнал. Витік облікових даних дозволяє операторам, що стоять за шкідливою програмою, отримувати доступ до вмісту бази даних, включаючи різні конфігурації, таблиці стану та інформацію про транзакції POS. Однак за допомогою аналізованого варіанту ModPipe зловмисники не отримують доступу до конфіденційних даних, таких як номери кредитних карток і терміни дії. Ця інформація додатково захищена шифруванням. Таким чином, мета зловмисників залишається незрозумілою, оскільки вони отримують мало цінної інформації. Дослідники ESET підозрюють, що існує ще один завантажуваний модуль, який дозволяє злочинцям розшифровувати більш конфіденційні дані.

Що повинні робити користувачі POS-системи

Щоб тримати операторів, що стоять за ModPipe, під контролем, зацікавленим сторонам у індустрії гостинності, а також будь-якому іншому бізнесу, що використовує RES 3700 POS, рекомендується робити наступне:

• Повинна бути встановлена ​​остання версія програмного забезпечення POS.
• Загалом, елементарно, щоб операційна система та інше встановлене програмне забезпечення на використовуваних пристроях завжди було актуальним.
• Слід використовувати надійне багаторівневе програмне забезпечення безпеки, яке виявляє ModPipe та подібні загрози.