Siber güvenlik kuruluşu ESET’in tespit ettiği ModPipe zararlısı, ‘Oracle Micros Restaurant Enterprise Series (RES) 3700 POS (point-of-sale)‘ idare yazılımını maksat alıyor. Bu yazılım, dünya çapında yüz binlerce gastronomi ve konaklama tesisindeki POS aygıtında kullanılıyor. ESET’in tespitlerine nazaran, ziyanlı yazılımın belirlendiği amaçların büyük çoğunluğu Amerika Birleşik Devletler’de yer alıyor.
ModPipe; RES 3700 POS veritabanı şifrelerini çözümleyerek ele geçirmek üzere tasarlanan, özel bir algoritmaya sahip bir art kapı. İndirilebilir modüllere sahip olmasıyla da bu istikametteki öteki berbat hedefli yazılımlardan ayrılıyor.
Hangi bilgileri sızdırıyor?
Sızdırılan kimlik bilgileri sayesinde ModPipe operatörleri, POS süreçleri ile ilgili çeşitli tanımlamalar ve yapılandırmalar, durum tabloları ve bilgiler dahil olmak üzere veritabanı içeriklerine erişim sağlayabiliyor.
ModPipe’ı keşfeden ESET Araştırmacısı Martin Smolár, “RES 3700 POS bilgilerine nazaran, saldırganlar şifreleme ile korunan kredi kartı numaraları ve son kullanım tarihleri üzere birçok hassas bilgiye erişim sağlayamaz. Saldırganların erişebileceği müşteri bilgileri sırf kart sahiplerinin isimleri ile sonlu olmalı” bilgisini paylaştı.
İndirilebilir modüller
Martin Smolár, kelamlarını şöyle sürdürdü: “ModPipe’ın en çok etkileyen istikameti ise indirilebilir modülleridir. 2019 yılında temel bileşenlerini bulup tahlil ettiğimizden beri bu art kapının farkındayız” diye konuştu. Smolár, indirilebilir modülleri ve fonksiyonlarını şöyle aktardı:
- GetMicInfo, üretici tarafından evvelce tanımlanmış iki veritabanı kullanıcı ismiyle irtibatlı şifrelerin de ortalarında olduğu Micros POS ile ilgili bilgileri amaç alır. Bu modül, özel olarak tasarlanmış bir algoritma kullanarak bu veritabanı şifrelerini ele geçirebilir ve çözebilir.
- ModScan 2.20, seçili IP adreslerini tarayarak makinelerde heyeti Micros POS ortamı ile ilgili ek bilgi toplar.
- ProcList’in temel amacı, makinede o an yürütülen süreçlerle ilgili bilgi toplamaktır.
POS’larla ilgili kapsamlı bilgiye sahipler
ESET Araştırmacısı Smolár, “ModPipe’ın mimarisi, modülleri ve özellikleri de müelliflerinin hedeflenen RES 3700 POS yazılımıyla ilgili kapsamlı bilgiye sahip olduğunu gösteriyor. Operatörler yetkinliklerini, tescilli yazılım eserini çalıp mühendisliğini geriye dönük incelemekten, yeraltı piyasasından sızıntı modülleri kullanmaya yahut satın almaya kadar birçok farklı formda kazanmış olabilir” diye ekledi.
Nasıl tedbir almalı?
ModPipe operatörlerinden uzak durmak isteyen konaklama ve öbür bölümlerdeki RES 3700 POS kullanıcısı potansiyel kurbanların, şunları yapması tavsiye ediliyor:
- İdare yazılımının en son sürümünü kullanmak.
- Yazılımı, güncellenmiş işletim sistemine sahip aygıtlarda kullanmak.
- ModPipe’ı ve benzeri tehditleri algılayabilecek çok katmanlı muteber bir güvenlik yazılımı kullanmak.
