O NOUA VARIANTA MALWARE - INFRACTORII CIBERNETICI VIZEAZA UTILIZATORII SAP Malware-ul verifica daca sistemele infectate au instalata o aplicatie SAP client, sustin cercetatorii ERPScan. O noua varianta a programului Troian care vizeaza conturile de online banking contine, de asemenea, un cod pentru a verifica daca computerele infectate au instalata aplicatia SAP client, sugerand, astfel, ca atacatorii ar putea viza sistemele SAP in viitor. Malware-ul a fost descoperit in urma cu cateva saptamani de catre compania rusa antivirus Doctor Web, care a impartasit aceste informatii cu cercetatorii din cadrul ERPScan, un dezvoltator de produse de monitorizare de securitate pentru sistemele SAP. Am analizat malware-ul si tot ce face acesta acum este sa verifice care dintre sisteme are instalate aplicatii SAP, a declarat Alexander Polyakov, chief technology officer in cadrul ERPScan. Cu toate acestea, ar putea reprezenta inceputul unor viitoare atacuri. Cand malware-ul face acest tip de recunoastere pentru a verifica daca un anumit software este instalat, atacatorii fie intentioneaza sa vanda accesul la computerele infectate catre alti infractori cibernetici interesati sa exploateze acel software, fie intentioneaza ei insisi sa exploateze software-ul la o data ulterioara, a expliat Polyakov. Polyakov a prezentat riscurile unor astfel de atacuri, precum si ale altor atacuri asupra sistemelor SAP, in cadrul conferintei de securitate RSA Europe, desfasurata joi la Amsterdam. Tot Polyakov a informat ca, din cunostintele sale, aceasta este prima piesa malware are vizeaza software-ul SAP client si care nu a fost creata ca un proof-of-concept de catre cercetatori, ci de catre infractori cibernetici reali. Aplicatiile SAP client care ruleaza pe statii de lucru au fisiere de configurare care pot fi usor citite si care contin adresele IP ale serverelor SAP la care se conecteaza. Atacatorii pot patrunde in procesele aplicatiilor si pot identifica parolele utilizatorilor SAP ori le pot citi din fisierele de configurare si script-urile GUI, a relevat Polyakov. Atacatorii pot realiza multe lucruri prin obtinerea accesului la serverele SAP. In functie de permisiunile pe care le detin datele de identificare furate, atacatorii pot fura informatii ale clientilor si secrete comerciale sau pot fura bani de la companii prin crearea si aprobarea platilor false ori schimbarea conturilor bancare ale clientilor existenti pentru a redirectiona platile direct in conturile atacatorilor, a mai adaugat Polyakov. In anumite medii enterprise se depun eforturi pentru a limita permisiunile utilizatorilor SAP la sarcinile lor, insa aceastea sunt proiecte mari si complexe. In practica, majoritatea companiilor permit utilizatorilor lor SAP sa faca aproape orice, respectiv mai mult decat ar trebui, a sustinut Polyakov. Chiar daca unele dintre datele de autentificare ale utilizatorilor nu ofera atacatorilor acces la ceea ce doresc, exista acreditari administrative pe care multe companii nu le schimba niciodata sau uita sa le schimbe, in ceea ce priveste anumite aspecte ale sistemelor lor de dezvoltare, care contin instantanee ale datelor companiei, a declarat cercetatorul. Cu accesul la software-ul SAP client, atacatorii ar putea fura informatii sensibile, cum ar fi date financiare, secrete corporative, liste de clienti sau informatii de resurse umane, pe care ar putea, ulterior, sa le vanda concurentei. De asemenea, acestia ar putealansa atacuri denial-of-service impotriva serverelor SAP ale unei companii, pentru a perturba operatiunile de afaceri si pentru a cauza daune materiale, a mai aratat Polyakov. Clientii SAP sunt, de obicei, companii foarte mari. Exista aproape 250.000 de companii care folosesc produsele SAP la nivel mondial, incluzand peste 80% din lista Forbes, a evidentiat Polyakov. Dr. Web detecteaza noua varianta malware ca parte a familiei Trojan.Ibank, insa acesta este, probabil, un alias generic, a precizat Polyakov. Colegii mei au sustinut ca aceasta este o noua modificare a unui troian bancar cunoscut, insa nu este vorba despre popularii Zeus sau SpyEye. Cu toate acestea, malware-ul nu este singura amenintare pentru clientii SAP. ERPScan a descoperit o vulnerabilitate critica de executare a codurilor de la distanta in SAProuter, o aplicatie care actioneaza ca un proxy intre sistemele SAP interne si Internet. Un patch pentru aceasta vulnerabilitate a fost lansat in urma cu sase luni, insa ERPScan a constatat ca din 5000 de SAProutere accesibile de pe Internet, doar 15% au instalat patch-ul, a relevat Polyakov. Daca se obtine acces la SAProuterul unei companii, se poate patrunde in retea si se pot face aceleasi lucruri ca si in cazul accesului la o statie de lucru SAP, a concluzionat Polyakov. Sursa: computerworld & smartnews.ro
Posted on: Mon, 04 Nov 2013 09:45:37 +0000