Готельно-ресторанний бізнес під прицілом нового бекдора

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення модульного бекдора під назвою ModPipe, за допомогою якого зловмисники можуть отримувати доступ до конфіденційної інформації на пристроях з ORACLE MICROS RES 3700 POS. Це програмне забезпечення здебільшого використовується у барах, ресторанах, готелях та інших закладах у всьому світі.

Особливістю цього бекдора є завантажувані модулі та їх можливості — наприклад, він містить спеціальний алгоритм, призначений для збору паролів бази даних RES 3700 POS шляхом їх дешифрування зі значень реєстру Windows. Вибір такого складного методу замість використання зчитування натискань клавіатури свідчить про високу обізнаність операторів щодо своєї цілі. Викрадені облікові дані дозволяють авторам ModPipe отримувати доступ до бази даних, яка містить різні визначення та конфігурації, статус таблиць та інформацію про POS-транзакції.

 «Однак згідно з документацією RES 3700 POS, зловмисники не зможуть отримати доступ до конфіденційних даних, таких як номери кредитних карт та дати закінчення терміну дії, які захищені шифруванням. Єдиними даними про клієнтів, які зберігаються у відкритому вигляді та доступні для зловмисників, є імена власників карток», — попереджає Мартін Смолар, дослідник ESET.

Алгоритм ModPipe збирає інформацію POS-транзакцій. ESET.

«Характерною відмінністю бекдора ModPipe є завантажувані модулі. Ми знали про їхнє існування з кінця 2019 року, коли вперше зафіксували та проаналізували основні компоненти бекдора», — пояснює Мартін Смолар.

Завантажувані модулі

  • GetMicInfo націлений на дані з MICROS POS, включно з паролями, які пов'язані з двома іменами користувачів бази даних, заздалегідь заданих виробником. Цей модуль може перехоплювати та розшифровувати ці паролі бази даних, використовуючи спеціально розроблений алгоритм.
  • ModScan 2.20 збирає додаткову інформацію про встановлене середовище MICROS POS на пристроях шляхом сканування обраних IP-адрес.
  • ProcList збирає інформацію про поточні процеси, запущені на пристрої.

«Архітектура ModPipe, його модулі та можливості також свідчать про обізнаність операторів щодо програмного забезпечення RES 3700 POS. Їх досвідченість може бути результатом опрацювання різних сценаріїв, включно з викраденням та розробкою власного програмного продукту, несанкціонованим використанням його частин або придбанням коду на нелегальному ринку», — додає дослідник ESET.

Варто зазначити, що більшість виявлених цілей зловмисників знаходиться у США. У разі подальшого поширення ModPipe підприємствам готельно-ресторанного бізнесу, які використовують RES 3700 POS, варто дотримуватися таких порад:

  • використовувати актуальну версію програмного забезпечення;
  • своєчасно оновлювати операційну систему та програмне забезпечення на пристроях;
  • використовувати надійне багаторівневе рішення з безпеки, яке здатне виявляти ModPipe та подібні загрози.

Більше детальну інформацію про бекдор ModPipe читайте за посиланням.