ESET ontdekt ModPipe, een backdoor gericht op POS software waarmee duizenden restaurants en hotels werken

Next story

Sliedrecht, 12 november 2020 – ESET-onderzoekers hebben ModPipe ontdekt, een modulaire achterdeur die criminelentoegang geeft tot gevoelige informatie die is opgeslagen in apparaten met ORACLE MICROS Restaurant Enterprise Series (RES) 37. Dit is een managementsoftwarepakket dat wordt gebruikt door honderdduizenden bars, restaurants, hotels en andere horecagelegenheden over de hele wereld. De meerderheid van de geïdentificeerde doelen kwamen uit de Verenigde Staten.

Wat de achterdeur bijzondermaakt zijn de downloadbare modules en hun mogelijkheden. Het bevat namelijk een aangepast algoritme dat is ontworpen om RES 3700 POS-databasewachtwoorden te verzamelen uit het Windows register en te ontsleutelen. Dit toont aan dat de schrijvers van de backdoor diepe kennis hebben van de beoogde software en hebben gekozen voor deze geavanceerde methode in plaats van het verzamelen van de gegevens via een eenvoudigere maar opzichtigere aanpak, zoals keylogging. De geexfiltreerde inloggegevens geven de beheerders van ModPipe toegang tot de database, inclusief verschillende definities en configuraties, statustabellen en informatie over kassatransacties.

"Echter, op basis van de documentatie van RES 3700 POS, zouden de aanvallers niet in staat moeten zijn om toegang te krijgen tot de meest gevoelige informatie - zoals creditcardnummers en vervaldata - die door encryptie wordt beschermd. De enige klantgegevens die niet-versleuteld worden opgeslagen, en daardoor beschikbaar zouden zijn voor de aanvallers zouden de namen van de kaarthouders moeten zijn," merkt Martin Smolár, de ESET-onderzoeker die ModPipe ontdekte, op.

"Waarschijnlijk de meest intrigerende onderdelen van ModPipe zijn de downloadbare modules. We zijn ons bewust van hun bestaan sinds eind 2019, toen we de basiscomponenten ervan voor het eerst vonden en analyseerden," legt Smolár uit.

Downloadbare modules:

  • GetMicInfo richt zich op gegevens met betrekking tot de MICROS POS, inclusief wachtwoorden gekoppeld aan twee door de fabrikant voorgedefinieerde gebruikersnamen van de database. Deze module kan die databasewachtwoorden onderscheppen en ontsleutelen.
  • ModScan 2.20 verzamelt aanvullende informatie over de geïnstalleerde MICROS POS-omgeving op de machines door het scannen van geselecteerde IP-adressen.
  • ProcList heeft als voornaamste doel om informatie te verzamelen over de lopende processen op de machine.

"De architectuur van ModPipe, de modules en hun mogelijkheden geven eveneens aan dat de schrijvers van ModPipe uitgebreide kennis hebben van de beoogde RES 3700 POS-software. Er zijn verschillende factoren die de deskundigheid van de criminelen kunnen verklaren. Bijvoorbeeld eerdere ervaringen als het stelen en reverse-engineeren van het eigen softwareproduct, het misbruiken van gelekte onderdelen of het kopen van code van een ondergrondse markt", voegt Smolár toe.

Om de criminelen achter ModPipe geen kans te geven, worden potentiële slachtoffers in de horeca en andere bedrijven die gebruik maken van de RES 3700 POS geadviseerd om:

  • De nieuwste versie van de software te gebruiken.
  • Het alleen te gebruiken op apparaten die een bijgewerkt besturingssysteem en bijgewerkte software hebben.
  • Betrouwbare meerlaagse beveiligingssoftware te gebruiken die ModPipe en soortgelijke bedreigingen kan detecteren.

Voor meer technische details over ModPipe, lees onze blog “Hungry for data, ModPipe backdoor targets popular POS software used in hospitality sector,” op WeLiveSecurity. 

Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET's R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.