“eset” تكشف هجمات “ModPipe”
كتبت ايه حسين
اكتشف الباحثون في شركة «إسيت» هجمات ” الباب الخلفي” الضارة ModPipe، والتي تمنح مشغليه الوصول إلى المعلومات الحساسة المخزنة في الأجهزة التي تشغل برامج نقاط البيع “سلسلة برامج اوراكل مايكروس لشركات المطاعم” (RES) 3700 POS – وهي برامج إدارة تستخدم من قبل مئات الآلاف من المطاعم والفنادق ومؤسسات الضيافة الأخرى في جميع أنحاء العالم. وغالبية الأماكن المستهدفة كانت من الولايات المتحدة.
ما يجعل هجمات “الباب الخلفي” الضارة متميزة هي وحداتها القابلة للتنزيل وقدراتها في الدخول للنظم، حيث تحتوي على خوارزمات مخصصة ومصممة لجمع كلمات مرور قاعدة بيانات (RES) 3700 POS عن طريق فك تشفيرها من قيم تسجيل ويندوز. يؤكد هذا أن مؤلفي الهجمات الضارة لديهم معرفة عميقة بالبرنامج المستهدف ولذلك اختاروا هذه الطريقة المعقدة بدلاً من جمع البيانات عبر نهج أبسط مثل تسجيل لوحة المفاتيح. تسمح بيانات الاعتماد المسربة لمشغلي ModPipe بالوصول إلى محتويات قاعدة البيانات، بما في ذلك التعريفات والتكوينات المختلفة، وجداول الحالة والمعلومات حول معاملات نقاط البيع.
وصرح “مارتن سمولار”، الباحث في شركة «إسيت» ومكتشف ModPipe، وقال: “استنادًا إلى الابحاث والوثائق لـ RES 3700 POS ، لن يتمكن المهاجمون من الوصول إلى بعض المعلومات الأكثر حساسية والمحمية بواسطة التشفير، مثل أرقام بطاقات الائتمان وتواريخ انتهاء الصلاحية . يجب أن تكون بيانات العملاء الوحيدة المخزنة بشكل واضح وبالتالي متاحة للمهاجمين هي أسماء حاملي البطاقات. ربما تكون الأجزاء الأكثر إثارة للاهتمام في ModPipe هي وحداتها القابلة للتنزيل. لقد أدركنا وجودها منذ نهاية عام 2019، عندما اكتشفنا مكوناتها الأساسية وحللناها لأول مرة”.
الوحدات القابلة للتنزيل:
يستهدف GetMicInfo البيانات المتعلقة بـ MICROS POS، بما في ذلك كلمات المرور المرتبطة باثنين من أسماء مستخدمي قاعدة البيانات المحددة مسبقًا من قبل الشركة المصنعة. يمكن لهذه الوحدة اعتراض كلمات مرور قاعدة البيانات هذه وفك تشفيرها، باستخدام خوارزمات مصممة خصيصًا.
يقوم ModScan 2.20 بجمع معلومات إضافية حول بيئة MICROS POS المثبتة على الأجهزة عن طريق مسح عناوين IP محددة.
ProcList معدة لغرض رئيسي هو جمع معلومات حول العمليات الجارية على الجهاز.
و أضاف “سمولار”: تشير بنية ModPipe ووحداتها وقدراتها أيضًا إلى أن مؤلفيها لديهم معرفة واسعة ببرنامج RES 3700 POS المستهدف. يمكن أن تنبع كفاءة المشغلين من سيناريوهات متعددة، بما في ذلك سرقة منتج البرمجيات الاحتكارية والهندسته العكسية، أو إساءة استخدام أجزائه المسربة أو شراء رمز خفي.