ABD’de Restoran ve Otelleri Hedef Alan Yeni POS Saldırısı: ModPipe

Bir tür trojanı temsil eden ModPipe, Oracle MICROS Restoran Kurumları Serisi (RES) 3700 POS sistemlerini hedef alıyor. Söz konusu yazılım, restoran ve konaklama sektöründe POS, envanter ve iş yönetimini etkin bir şekilde yerine getirmek için çokça tercih edilen bir ürünü temsil ediyor. Diğer yandan ModPipe tarafından saldırıya maruz kalan hedeflerin büyük kısmı ABD merkezli…

Güvenlik araştırmacıları, ModPipe’ın kendisine özgü indirilebilir modülleri ve her birinin farklı yetenekleri bulunduğuna dikkat çekerek, özel hazırlanmış algoritmaların Windows kayıt defteri değerlerinden deşifre ettiği RES 3700 POS veri tabanı şifrelerini toplayabildiğine işaret ediyor. ModPipe tarafından veri tabanlarından elde edilen şifreler siber suçluların farklı tanımlar ile ayarlar, durum tabloları ve POS işlemlerine dair bilgi içeren veri tabanı içeriklerine ulaşmalarını sağlıyor.

Kredi kartı numaraları ve son kullanma tarihleri gibi bilgiler RES 3700 güvenlik bariyerleri ile korunuyor. Güvenlik araştırmacıları buna rağmen saldırıyı gerçekleştirilen siber korsanların ikinci bir indirilebilir bir modül aracılığıyla veri tabanının içeriklerini deşifre edebileceğini ifade etti.

Aşamaları…

ModPipe, ilk olarak öncü bir yazılım yükleyerek ikinci adımı ve ana yükünü temsil eden kötü amaçlı yazılım modülünün indirilmesini sağlıyor. Bu modül, diğer indirilebilir modüller ve kumanda ve kontrol (C2) sunucusu ile tek başına çalışan ağ modülünün iletişim kurmasını sağlıyor. İndirebilir modüllerin arasında öne çıkan “GerMicInfo” bileşeni özel bir algoritma kullanarak veri tabanı şifrelerini deşifre edebiliyor. Güvenlik araştırmacıları bu basamağın kriptografik kütüphanelerin tersine mühendislik edilmesi ile veya Oracle’ın MICROS POS biriminin 2016’da uğradığı güvenlik ihlalinin sonucunda şifreleme uygulamasına yönelik spesifik bilgilerin ele geçirilmesiyle yapıldığını tahmin ediyor.

ModScan 2.20 adını taşıyan ikinci bir modül, yüklenen POS sistemi hakkında daha fazla bilgi toplamayı amaçlıyor (versiyon ve veri tabanı sunucu verisi gibi). Proclist adındaki diğer bir modül ise mevcut çalışmakta olan süreçler hakkında bilgi topluyor.

ModPipe’ın mimarisi, modülleri ve ortaya koydukları özellikler, geliştiricilerin RES 3700 POS yazılımı hakkında oldukça bilgili olduğunu gösteriyor. Geliştiricilerin bu kadar etkin bir saldırı üretmesini sağlayan faktörler arasında özel yazılım ürününün çalınmış olması, sızdırılan parçalarının kötüye kullanılması veya dark web karaborsalarından satın alınan kodlar olabilir.

Konaklama sektöründe RES 3700 POS yazılımı kullanan işletmelerin yazılımlarını en son versiyona güncellemeleri ve cihazlarının bağlı olduğu işletim sistemlerini için de aynı işlemi yapmaları tavsiye edildi.