Гостинично-ресторанный бизнес под прицелом нового бэкдора

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении модульного бэкдора под названием ModPipe, с помощью которого злоумышленники могут получать доступ к конфиденциальной информации на устройствах с ORACLE MICROS RES 3700 POS. Это программное обеспечение в основном используется в барах, ресторанах, гостиницах и других заведениях во всем мире.

Особенностью этого бэкдора являются загружаемые модули и их возможности — например, он содержит специальный алгоритм, предназначенный для сбора паролей базы данных RES 3700 POS путем их дешифрования из значений реестра Windows. Выбор такого сложного метода вместо использования считывания нажатий клавиатуры свидетельствует о высокой осведомленности операторов относительно своей цели. Похищенные учетные данные позволяют авторам ModPipe получать доступ к базе данных, которая содержит различные определения и конфигурации, статус таблиц и информацию о POS-транзакциях.

 «Однако согласно документации RES 3700 POS, злоумышленники не смогут получить доступ к конфиденциальным данным, таким как номера кредитных карт и даты окончания срока действия, которые защищены шифрованием. Единственными данными о клиентах, которые хранятся в открытом виде и доступны для злоумышленников, являются имена владельцев карт», — предупреждает Мартин Смолар, исследователь ESET.

Алгоритм ModPipe собирает информацию о POS-транзакциях. ESET.

«Характерным отличием бэкдора ModPipe являются загружаемые модули. Мы знали об их существовании с конца 2019 года, когда впервые зафиксировали и проанализировали основные компоненты бэкдора», — объясняет Мартин Смолар.

Загружаемые модули

  • GetMicInfo нацелен на данные из MICROS POS, включая пароли, которые связаны с двумя именами пользователей базы данных, заранее заданные производителем. Этот модуль может перехватывать и расшифровывать эти пароли базы данных, используя специально разработанный алгоритм.
  • ModScan 2.20 собирает дополнительную информацию об установленной среде MICROS POS на устройствах путем сканирования выбранных IP-адресов.
  • ProcList собирает информацию о текущих процессах, запущенных на устройстве.

«Архитектура ModPipe, его модули и возможности также свидетельствуют об осведомленности операторов относительно программного обеспечения RES 3700 POS. Их опытность может быть результатом проработки разных сценариев, включая похищение и разработку собственного программного продукта, несанкционированное использование его частей или приобретение кода на нелегальном рынке», — добавляет исследователь ESET.

Стоит отметить, что большинство обнаруженных целей злоумышленников находится в США. В случае дальнейшего распространения ModPipe предприятиям гостинично-ресторанного бизнеса, которые используют RES 3700 POS, следует придерживаться таких советов:

  • использовать актуальную версию программного обеспечения;
  • своевременно обновлять операционную систему и программное обеспечение на устройствах;
  • использовать надежное многоуровневое решение по безопасности, которое способно выявлять ModPipe и подобные угрозы.

Более подробную информацию о бэкдоре ModPipe читайте по ссылке.