Yılbaşı alışveriş sezonu tam gaz devam ederken, bir siber güvenlik firması satış noktası (POS) sistemleri kullanan perakendeciler için tehdit oluşturabilecek “oldukça gelişmiş” bir kötü amaçlı yazılıma karşı uyarıda bulundu. ModPOS adı verilen bu kötü amaçlı yazılım aslında 2012 yılından beri ortalıkta ve 2014 yılında şirketleri aktif olarak hedef aldığı tespit edilmişti.
Teksas merkezli siber güvenlik şirketi iSight Partners bu hafta başında ModPOS ile ilgili detaylı bir rapor yayınladı ve çok sayıda perakendeciyi bu potansiyel tehdit hakkında bilgilendirdi. Şirket ayrıca uzmanlarının Perakendeciler Siber İstihbarat Paylaşım Merkezi ile çalışarak üyelerinin kendilerini bu kötü amaçlı yazılıma karşı korumalarına yardımcı oluyor.
ModPOS hem tespit edilebilmesi güç bir yazılım hem de çok sayıda ve belirli bir kesim perakendecinin POS sistemlerini hedef alacak şekilde yapılandırılabiliyor. iSight araştırmacıları, platforma ters mühendislik uyguladıklarında tespit ettikleri bazı IP adreslerinden yola çıkarak yazılımın Doğu Avrupa’yla bağlantıları olabileceğini tahmin ediyorlar.
Bugüne kadarki en gelişmiş POS virüsü
iSight’ın pazarlama müdürü Stephen Ward ModPOS’un bugüne kadar gördükleri en gelişmiş POS virüsü olduğunu söylüyor.
ModPOS karmaşık ve gelişmiş kod tabanı sayesinde birçok modern güvenlik sistemine yakalanmadan cihazlara sızabiliyor. Modüler yapısı çoklu saldırılar düzenlemesini mümkün kılıyor. Tuş kaydedici, POS delici ve yükleyici/indirici modülleri sayesinde de perakendecilerin POS sistemlerine daha önce benzeri görülmemiş saldırılarda bulunabiliyor.
Ward ayrıca ModPOS’un kendine özgü eklentileri ve özel fonksiyonları olduğunu söylüyor. Gelişmiş yapısı nedeniyle ters mühendislik yapmak isteyen güvenlik uzmanlarına zor zamanlar yaşattığını da ekliyor.
Akıllı Kart sistemleri bile tehlikede
iSight müfettişlerinin hazırladığı istihbarat raporuna göre ModPOS’un kabuk kodu C ile yazılmışa benziyor ve çok sayıda özelliğe sahip. Örneğin servis enjeksiyonunun yaklaşık 600 fonksiyonu, tipik kabuk kodunun ise sadece 0 ila 5 fonksiyonu var.
ModPOS’un bir modülünün POS sistemlerinin belleğinden kredi kartı takip bilgilerini ele geçirdiği görüldü. Bu da perakendeci, restoranlar, oteller, sağlık merkezleri de dahil olmak üzere POS sistemi kullanan tüm kuruluşların muhtemel hedef olduğunu gösteriyor.
iSight’a göre EMV akıllı kart kullanılan daha gelişmiş POS sistemlerine sahip perakendeciler bile ModPOS’un hedefi olabiliyor. POS sistemi uçtan uca şifrelemeyi ve bellekteki verilerin şifrelenmesini destekleyecek şekilde yapılandırılmamışsa ModPOS müşterilerin kredi kartı bilgilerine ulaşabiliyor. Bu veriler daha sonra kredi kartlarının fiziksel olarak bulunmasının gerekmediği online alışveriş işlemlerinde kullanılabiliyor. Verizon yakın tarihte yayınladığı Veri Hırsızlığı Soruşturmaları Raporu’nda 61 farklı ülkeden perakendecinin 2015 yılında her hafta 800 kötü amaçlı yazılım saldırısına uğradığını bildirdi. Rapora göre giderek daha sofistike bir hal almış olan saldırganların yaklaşık %70’i birçok tekniğin farklı kombinasyonlarını kullanıyor.