La porte dérobée se distingue par des modules téléchargeables et leurs capacités, car elle contient un algorithme personnalisé conçu pour collecter les mots de passe de la base de données RES 3700 POS en les déchiffrant à partir des valeurs du registre Windows. Cela montre que ses auteurs ont une connaissance approfondie du logiciel ciblé et ont opté pour cette méthode sophistiquée au lieu de collecter les données par une approche plus simple mais plus «bruyante » comme le keylogging. Les informations d'identification exfiltrées permettent aux opérateurs de ModPipe d'accéder au contenu de la base de données, y compris les diverses définitions et configurations, tables d'état et informations sur les transactions POS.
«Sur base de la documentation du RES 3700 POS, les attaquants ne devraient pourtant pas avoir accès à certaines des informations parmi les plus sensibles - les numéros de carte de crédit et les dates d'expiration - qui sont protégées par cryptage. Les seules données client stockées en clair et donc disponibles pour les attaquants devraient être les noms des titulaires de carte», explique Martin Smolár, chercheur chez ESET, qui a découvert ModPipe.
«Les modules téléchargeables sont probablement les parties les plus intrigantes de ModPipe. Nous connaissons leur existence depuis fin 2019, lorsque, pour la première fois, nous avons découvert et analysé ses composants de base», ajoute Smolár.
Modules téléchargeables:
• GetMicInfo cible les données liées à MICROS POS, y compris les mots de passe liés à deux noms d'utilisateur de la base de données prédéfinis par le fabricant. Ce module peut intercepter et décrypter ces mots de passe en utilisant un algorithme spécialement conçu.
• ModScan 2.20 collecte des informations supplémentaires sur l'environnement MICROS POS installé sur les machines en scannant des adresses IP sélectionnées.
• ProcList dont l'objectif principal est de collecter des informations sur les processus en cours d'exécution sur la machine.
«De plus, l’architecture, les modules et les capacités de ModPipe indiquent que ses auteurs ont une connaissance approfondie du logiciel point de vente RES 3700. La compétence des opérateurs pourrait découler de plusieurs scénarios, y compris le vol et la rétro-ingénierie du logiciel propriétaire, l'utilisation abusive de ses pièces divulguées ou l'achat de code sur un marché clandestin », conclut Smolár.
Pour garder à distance les opérateurs de ModPipe, les victimes potentielles du secteur de l'hôtellerie ainsi que toute autre entreprise utilisant le logiciel point de vente RES 3700 sont invitées à:
• Utilisez la toute dernière version du logiciel
• L’utilisez sur des appareils qui exécutent un système d'exploitation et des logiciels mis à jour.
• Utilisez un logiciel de sécurité multicouche fiable, capable de détecter ModPipe et des menaces similaires.
Pour plus de détails techniques sur ModPipe, lisez “Hungry for data, ModPipe backdoor targets popular POS software used in hospitality sector,” (Avide de données, ModPipe backdoor cible les logiciels de point de vente populaires utilisés dans le secteur de l'hôtellerie), un article sur le blog
www.WeLiveSecurity. Suivez aussi ESET Research on Twitter pour les toutes dernières nouvelles d'ESET Research.