Cyberprzestępcy wzięli na cel oprogramowanie Oracle używane w punktach gastronomicznych i hotelach. Czy naprawdę jest się czego obawiać?
ModPipe to wykryty przez ekspertów z firmy ESET modułowy backdoor, umożliwiający dostęp do poufnych informacji z popularnego oprogramowania zarządzającego dla branży hotelarsko-gastronomicznej - ORACLE MICROS Restaurant Enterprise Series (RES) 3700 POS. Jest on wykorzystywany w setkach tysięcy obiektów z branży HoReCa (hotele – restauracje – catering) na całym świecie. Autorzy backdoora mieli głęboką wiedzę na temat docelowego oprogramowania, czego dowodem wyrafinowana metoda, jaką zastosowali. Wyróżnia się rozbudowanymi funkcjami modułów możliwych do pobrania. Jednym z nich jest GetMicInfo – zawiera algorytm przeznaczony do zbierania haseł do baz danych poprzez odszyfrowanie ich z wartości w rejestrze systemu Windows.
ModPipe pozwala uzyskać dostęp do baz danych, w tym różnych definicji i konfiguracji oraz informacji o transakcjach wykonywanych za pośrednictwem terminali płatniczych. Na szczęście jednymi danymi klientów, do jakich mogli dotrzeć cyberprzestępcy, były prawdopodobnie nazwiska posiadaczy kart płatniczych - numery kart kredytowych i ich daty ważności przetwarzane za pośrednictwem oprogramowania są bowiem szyfrowane. Oprogramowanie ORACLE MICROS Restaurant Enterprise Series (RES) 3700 POS wykorzystywane jest na całym świecie - także w Polsce. Jednak większość zidentyfikowanych celów cyberprzestępców pochodziła ze Stanów Zjednoczonych.
Stawia to pod znakiem zapytania korzyści płynące z takiego rozwiązania z punktu widzenia cyberprzestępców. Za jego pośrednictwem uzyskują oni w gruncie rzeczy mało wartościowe dla nich informacje. Niewykluczone zatem, że istnieje kolejny moduł ModPipe, pozwalający na odszyfrowanie bardziej poufnych danych. Musiałby on używać dokładnie tego samego algorytmu generowania hasła, który został wykorzystany w pierwotnym oryginalnym oprogramowaniu. Nie wiadomo natomiast, czy atakujący przy użyciu inżynierii wstecznej odzyskali ten algorytm. Nieznana pozostaje także metoda dystrybucji backdoora
– wyjaśnia Kamil Sadkowski, starszy analityk zagrożeń w ESET
Zobacz: ESET Cloud Office Security – debiutuje zaawansowana ochrona dla Microsoft 365
Zobacz: ESET publikuje raport zagrożeń w II kwartale 2020: ransomware znowu rośnie w siłę
Źródło zdjęć: Igor Starkov/Pexels
Źródło tekstu: ESET