Bot mreža BrutPOS napada slabo zaštićene POS sisteme

Hiljade kompromitovanih računara pokušavaju da provale u POS (point-of-sale) sisteme koristeći brute-force tehnike da bi došli do kredencijala za daljinsko administriranje.

v1_1385_k

Kompromitovani računari deo su bot mreže koju su istraživači kompanije FireEye nazvali BrutPOS i za koju se veruje da je aktivna od februara ove godine, a možda i ranije.

Bot mreža skenira IP adrese koje određuju operateri bot mreže u potrazi za Remote Desktop Protocol servisom.

Kada identifikuje RDP servis, malver BrutPOS pokušava da se prijavi sa korisničkim imenima i lozinkama sa liste koju ima.

“Neka korisnička imena i lozinke ukazuju da napadači traže određene marke POS sistema kao što je Micros”, kažu iz kompanije FireEye.

Ako malver BrutPOS uspešno pogodi kredencijale za daljinski pristup sistemu, on šalje povratne informacije komandno-kontrolnom serveru (C&C). Napadači tada koriste ove informacije da bi ustanovili da li je sistem POS terminal, i ako jeste, onda instaliraju maliciozni program dizajniran da izvlači informacije o platnim kraticama iz memorije aplikacija na POS terminalima.

Takva vrsta malicioznog programa poznata je pod nazivom RAM scarper, i u poslednjih godinu dana se sve češće koristi u napadima na POS sisteme.

Istraživači iz firme IntelCrawler takođe su pratili malver BrutPOS, za koji u ovoj firmi veruju da se pojavio u sajber podzemlju u maju ove godine kao projekat nazvan @-Brt. Prema mišljenju stručnjaka iz IntelCrawlera, malver ne cilja samo na RDP, već i na druge protokole za daljinsku administraciju kao što su VNC i PCAnywhere.

FireEye je identifikovao pet C&C servera malvera BrutPOS, od kojih su dva još uvek online. Ta dva servera nalaze se u Rusiji, dok su ostali locirani u Iranu i Nemačkoj.

Podaci prikupljeni sa ovih servera ukazuju da bot mreža ima 5622 kompromitovana računara iz 119 zemalja. Istraživači su identifikovali 60 kompromitovanih sistema, verovatno POS terminala, od koji se 51 nalazi u SAD.

„Najčešće korisničko ime bilo je “adminstrator” (36) a najčešća lozinka “pos” (12) i “Password” (12)”, kažu u FireEye.

Prema podacima IntelCrawlera, druge najčešće lozinke korišćene na kompromitovanim sistemima su aloha12345, micros, pos12345, posadmin i javapos.

Iako nema dovoljno informacija da bi se utvrdilo odakle je došao malver BrutPOS, postoje indicije da su napadači najverovatnije iz istočne Evrope, i to iz Rusije ili Ukrajine.

izvor: http://www.informacija.rs