ESET Research обнаруживает ModPipe, бэкдор таргетинга POS-программного обеспечения, используемого тысячами ресторанов, отелей

Что делает бэкдор отличительным, так это его загружаемые модули и их возможности, поскольку он содержит пользовательский алгоритм, предназначенный для сбора паролей базы данных RES 3700 POS, расшифровывая их из значений реестра Windows. Это показывает, что авторы бэкдора имеют глубокие знания о целевом программном обеспечении и выбрали этот сложный метод вместо сбора данных с помощью более простого, но “громкого” подхода, такого как кейлоггинг. Эксфильтрированные учетные данные позволяют операторам ModPipe получать доступ к содержимому базы данных, включая различные определения и конфигурацию, таблицы состояния и информацию о POS-транзакциях.

"Однако, основываясь на документации RES 3700 POS, злоумышленники не должны иметь доступа к некоторым наиболее конфиденциальным данным – таким как номера кредитных карт и даты истечения срока действия – которые защищены шифрованием. Единственными данными клиентов, хранящимися в открытом доступе и поэтому доступными злоумышленникам, должны быть имена владельцев карт”, - предупреждает исследователь ESET Мартин Смолар, обнаруживший ModPipe.

"Вероятно, самые интригующие части ModPipe-это загружаемые модули. Мы знали об их существовании с конца 2019 года, когда впервые обнаружили и проанализировали его основные компоненты”, - объясняет Смолар.


-GetMicInfo нацелен на данные, связанные с Micros POS, включая пароли, привязанные к двум именам пользователей базы данных, предопределенным производителем. Этот модуль может перехватывать и расшифровывать эти пароли базы данных, используя специально разработанный алгоритм.
-ModScan 2.20 собирает дополнительную информацию об установленной среде MICROS POS на машинах путем сканирования выбранных IP-адресов.
-ProcList с основной целью-это сбор информации о текущих запущенных процессах на машине.

"Архитектура ModPipe, модули и их возможности также указывают на то, что ее авторы обладают обширными знаниями целевого программного обеспечения RES 3700 POS. Классность операторов могут возникнуть из-за нескольких сценариев, в том числе воровство и обратного инжиниринга проприетарных программных продуктов, злоупотребляя своим детальки или покупка кода из подземного рынка”, - добавляет Smolár.

Чтобы держать операторов за ModPipe в страхе, потенциальных жертв в секторе гостеприимства, а также любых других предприятий, использующих ВИЭ 3700 ПОС советуют:

-Используйте последнюю версию программного обеспечения.
-Используйте его на устройствах с обновленной операционной системой и программным обеспечением.
-Используйте надежное многослойное программное обеспечение безопасности, которое может обнаруживать ModPipe и подобные угрозы.

Для получения более подробной технической информации о ModPipe читайте “голодный за данными, modpipe backdoor нацелен на популярное программное обеспечение POS, используемое в гостиничном секторе”, блог-пост на WeLiveSecurity. Следите за последними новостями ESET Research в Twitter.