Mã độc ModPipe tấn công hệ thống quản lý POS của nhà hàng, khách sạn

Backdoor có tên “ModPipe” này ảnh hưởng đến hệ thống Oracle MICROS RES 3700 POS – một bộ phần mềm được sử dụng phổ biến trong các nhà hàng và khách sạn để quản lý máy POS, hàng tồn kho, và quản lý lao động. Các nhà nghiên cứu đã xác định được phần lớn mục tiêu tấn công của backdoor này là ở Mỹ.

“Điều làm cho backdoor này đặc biệt là các module có thể tải xuống của chúng (downloadable module). Những module này chứa một thuật toán tùy chỉnh được thiết kế để thu thập mật khẩu cơ sở dữ liệu của hệ thống RES 3700 POS bằng cách giải mã chúng từ các giá trị Windows registry,” nhóm chuyên gia bảo mật của ESET cho biết.

“Những thông tin trích xuất được cho phép tin tặc đứng sau ModPipe truy cập vào nội dung cơ sở dữ liệu, bao gồm các định nghĩa và cấu hình khác nhau, bảng trạng thái và thông tin về các giao dịch POS.”

Đáng chú ý là các thông tin nhạy cảm như số thẻ tín dụng và ngày hết liệu lực thường được bảo vệ sau các lớp mã hóa trong RES 3700, nhằm hạn chế việc những thông tin giá trị này có thể bị lợi dụng để thực hiện ý đồ xấu. Tuy nhiên, các nhà nghiên cứu cho rằng nhóm tin tặc này sở hữu một module thứ hai được dùng để giải mã nội dung của cơ sở dữ liệu.

Cơ sở hạ tầng của ModPipe bao gồm một dropper được dùng để cài đặt một trình tải (loader) mà sau đó sẽ giải nén và tải một payload ở giai đoạn tiếp. Payload này là malware module chính được dùng để thiết lập giao tiếp với các downloadable module khác, và với máy chủ C2 thông qua một module mạng độc lập.

Đứng đầu trong số các downloadable module là “GetMicInfo”, một thành phần có thể chặn và giải mã mật khẩu cơ sở dữ liệu bằng cách sử dụng một thuật toán đặc biệt. Các nhà nghiên cứu ESET cho rằng module này có thể đã được thực hiện bằng cách phân tích đảo ngược (reverse-engineer) các thư viện mật mã, hoặc qua việc lợi dụng các thông tin triển khai mã hóa có được từ vụ rò rỉ dữ liệu MICROS POS của Oracle vào năm 2016.

Module thứ hai “ModScan 2.20” được dùng để thu thập thông tin bổ sung về hệ thống POS đã cài đặt (như phiên bản, dữ liệu máy chủ cơ sở dữ liệu), trong khi một module khác có tên là “Proclist” có chức năng thu thập thông tin chi tiết về các tiến trình (process) hiện đang chạy.

“Kiến trúc, các module và khả năng đặc biệt của ModPipe là dấu hiệu cho thấy tin tặc đứng sau nó có một nền tảng kiến ​​thức sâu rộng về phần mềm RES 3700 POS. Sự thành thạo của nhóm tấn công này có thể xuất phát từ nhiều nguyên nhân khác nhau. Đó có thể là do chúng đã lấy cắp và phân tích ngược phần mềm độc quyền, sử dụng trái phép các bộ phận bị rò rỉ của nó, hoặc mua mã code từ các thị trường ngầm,” nhóm nhà nghiên cứu cho biết.

Các doanh nghiệp trong lĩnh vực nhà hàng, khách sạn đang sử dụng phần mềm RES 3700 POS được khuyến nghị nên nhanh chóng cập nhật lên phiên bản mới nhất cũng như nên sử dụng các thiết bị chạy phiên bản đã cập nhật của hệ điều hành.