Russische hackers hadden toegang tot Micros-kassasysteem van Oracle

Oracle heeft tegenover beveiligingsonderzoeker Brian Krebs bevestigd dat het kwaadaardige code heeft vastgesteld in bepaalde kassasystemen van Micros. De onderzoeker gaat ervan uit dat dit het werk is van de Russische Carbanak-groep, die gespecialiseerd is in banken.

Krebs schrijft dat hij het incident onderzoekt sinds eind juni, toen hij een tip ontving van een lezer. Volgens zijn bronnen heeft de Russische groep in eerste instantie toegang weten te krijgen tot een enkel systeem van Oracle, waarna deze in staat was om ook andere systemen met malware te besmetten. Onder deze systemen was het ondersteuningsportaal van het Micros-kassasysteem. Dit wordt volgens de onderzoeker op meer dan 330.000 kassa's wereldwijd gebruikt. De omvang van de hack is nog niet duidelijk, op dit moment zou het om meer dan 700 geïnfecteerde systemen gaan.

Via het ondersteuningsportaal kunnen Micros-klanten op afstand problemen oplossen. Door de malware waren de hackers in staat om inloggegevens buit te maken. Oracle heeft zijn klanten dan ook gevraagd om wachtwoorden opnieuw in te stellen. Krebs schat in dat de inloggegevens de criminelen in staat stellen om malware op kassa's te plaatsen, waarmee betaalgegevens gestolen kunnen worden. Hij kwam erachter dat het om de Carbanak-groep gaat, doordat een van zijn bronnen vertelde dat het ondersteuningsportaal in verbinding stond met een server die vaak door de groep wordt gebruikt.

In een brief aan klanten laat Oracle weten dat het interne bedrijfsnetwerk en andere diensten niet zijn getroffen door de hack. Oracle nam Micros Systems in 2014 over voor een bedrag van 5,3 miljard dollar.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-08-2016 07:34 28

09-08-2016 • 07:34

28

Lees meer

Europol: Spaanse politie pakt verdachte leider achter Carbanak-bankmalware op
Europol: Spaanse politie pakt verdachte leider achter Carbanak-bankmalware op Nieuws van 26 maart 2018
Beveiligingsbedrijf vindt geheugenmalware op 140 bedrijfsnetwerken
Beveiligingsbedrijf vindt geheugenmalware op 140 bedrijfsnetwerken Nieuws van 8 februari 2017
'Internetcriminelen stalen 45 miljoen dollar van Russische centrale bank'
'Internetcriminelen stalen 45 miljoen dollar van Russische centrale bank' Nieuws van 2 december 2016
FBI: hackers hebben minstens 15 miljoen dollar verdiend aan 'valse' FIFA Coins
FBI: hackers hebben minstens 15 miljoen dollar verdiend aan 'valse' FIFA Coins Nieuws van 14 november 2016
Democraten VS: Russen manipuleren verkiezingen met bij hack gestolen e-mails
Democraten VS: Russen manipuleren verkiezingen met bij hack gestolen e-mails Nieuws van 25 juli 2016
Russische veiligheidsdienst arresteert 50 hackers voor stelen 1,7 miljard roebel
Russische veiligheidsdienst arresteert 50 hackers voor stelen 1,7 miljard roebel Nieuws van 1 juni 2016
Russische bende stal miljoenen euro's van internetbankierende Belgen
Russische bende stal miljoenen euro's van internetbankierende Belgen Nieuws van 2 november 2015
'Russische hackgroepering kaapt satellietverbindingen'
'Russische hackgroepering kaapt satellietverbindingen' Nieuws van 9 september 2015
Hackers stalen gegevens 21,5 miljoen personen bij Amerikaanse overheid
Hackers stalen gegevens 21,5 miljoen personen bij Amerikaanse overheid Nieuws van 9 juli 2015
Oracle neemt Micros Systems over voor 5,3 miljard dollar
Oracle neemt Micros Systems over voor 5,3 miljard dollar Nieuws van 23 juni 2014
Meer producten en artikelen
Netwerk en systeembeheer Oracle Security

Reacties (28)

-Moderatie-faq
28
27
14
1
0
9
Wijzig sortering
StackMySwitchUp 9 augustus 2016 07:57
Het is misschien wat controversieel, maar als consument zou ik dan wel graag willen weten wie gebruik maakt van dit kassasysteem en of ze hun login gegevens al hebben aangepast/hun kassa's gecheckt hebben op malware.

<edit> Geniaal dat ik word downgemod terwijl het totaal relevant is, gezien de reacties (en de scores daarvan) hieronder..

[Reactie gewijzigd door StackMySwitchUp op 27 juli 2024 04:07]

Blokker_1999
@StackMySwitchUp9 augustus 2016 08:02
Als consument heb je geen last van dit virus. Kassasystemen kunnen bijvoorbeeld niet bij de details van betaalkaarten, die krijgen enkel een melding dat een transactie gelukt of mislukt is.
robbinwehl @Blokker_19999 augustus 2016 08:05
Vaak word vergeten dan Micros ook een PMS systeem is, indien deze functie ook word gebruikt kan de malware dus bij alle persoongegevens van alle gebruikers die staan ingevoerd (denk bijvoorbeeld aan een hotel)
m4ikel @robbinwehl9 augustus 2016 08:54
Nog niet eens gesproken over de miljoenen kopieën van ID/Paspoorten die Oracle/Micros in haar bezit heeft door OCR functionaliteit in het desbetreffende PMS systeem.
R4gnax @m4ikel9 augustus 2016 09:22
Nog niet eens gesproken over de miljoenen kopieën van ID/Paspoorten die Oracle/Micros in haar bezit heeft door OCR functionaliteit in het desbetreffende PMS systeem.
Ik mag hopen dat die niet bij Oracle opgeslagen liggen. Dat zou volgens mij toch wel een paar dozijn privacywetten overtreden.
Iblies @m4ikel9 augustus 2016 09:44
Normaliter moet er gebruik worden gemaakt van een vel waarop je rijbewijs/paspoort/id wordt gelegd die de belangrijkste gegevens afdekken.

Klakkeloos kopiëren kan wel maar mag niet zomaar.
xalvo @robbinwehl9 augustus 2016 08:38
Helemaal met je eens. Als het gaat om privacy, veiligheid van persoonsgegevens (zeker met wat Hotels e.d. allemaal van je registreren, al dan niet toegestaan) heb je zeker een punt.

Je zou dan ook verwachten dat zoals Blokker aangeeft dat kassasystemen niet bij de details van betaalkaarten e.d. kunnen. Op een kassa systeem zoals Micros wordt namelijk gewoonlijk een losse payment terminal aangesloten.

Als je het artikel leest echter staat hierin
schat in dat de inloggegevens de criminelen in staat stellen om malware op kassa's te plaatsen, waarmee betaalgegevens gestolen kunnen worden.
Het lijkt er dus op dat 'onze' verwachting dat Micros geen details van betaalkaarten ziet mogelijk niet daadwerkelijk zo is.
mr_seeker @xalvo9 augustus 2016 08:43
Sommige van die apparaten hebben een kaartlezer ingebouwd, voornamelijk voor het lezen van credit cards en als toegangssysteem (hoef je geen code in te voeren). Aangezien er op de meeste credit cards geen pin zit en je alleen met een krabbeltje kunt betalen, zijn de POS toch niet zo veilig als je denkt...
Powermage @mr_seeker9 augustus 2016 08:58
In Nederland gebruiken we die functies niet op die manier, dus hier heb je daar geen issues mee, in de USA is dat een ander verhaal.
Squee
@robbinwehl9 augustus 2016 10:59
[edit] Had reactie op @Blokker_1999 moeten zijn
Als consument heb je geen last van dit virus. Kassasystemen kunnen bijvoorbeeld niet bij de details van betaalkaarten, die krijgen enkel een melding dat een transactie gelukt of mislukt is.
Daar zou ik niet heel naief van uit durven gaan. Bij de Target hack waren ook de credit card gegevens (en pincodes!) beschikbaar gekomen door malware op de kassa systemen namelijk:

nieuws: Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target

Daar werd wel heel snel door de Amerikaanse banken op gereageerd overigens (ik woonde op dat moment in de VS en kwam regelmatig bij Target) - ze keken na of je in die periode bij zo'n winkel was geweest en dan werd je credit card extra in de gaten gehouden en zo spoedig mogelijk vervangen.

[Reactie gewijzigd door Squee op 27 juli 2024 04:07]

marco.heykant @robbinwehl9 augustus 2016 20:05
micros POS en Micros PMS zijn wel twee aparte dingen. Niet alle data wordt geshared met de pos vanuit het pms, want dat is niet nodig en dus onnodig dataverkeer. Over het algemeen alleen een kamernummer en een 'mag dit op de kamer' switch.
analog_ @marco.heykant9 augustus 2016 22:55
De spec is behoorlijk loose in wat mag en wat mag niet. Het is zo dat je in plaintext (sym. crypt is opt.) gewoon bestellingen en acties commandeert, er is geen vorm van identificatie, authenticatie niks, enkel audit logs. Dit is nog vanuit gaande dat je niet buiten de spec gaat werken.

Als je op het netwerk kan inpluggen ben ik er 100% zeker van dat er flinke gaten inzaten. De reden is historisch, dit waren toestellen zoals massage bedden die fysiek met seriële poort waren aangesloten in kamers die simpelweg geport is naar TCP. Complete physical security with extra sauce through obscurity legacy-ware :+
robbinwehl @marco.heykant12 augustus 2016 09:29
Het is waar dat pos en pms aparte dingen zijn echter worden deze wel aan elkaar gelinkt dmv een api .
Klant namen en cabin nummers worden meestal over de api gedeeld (tenminste zo word het bij al onze hotel installaties gedaan)
Dit word bijvoorbeeld gebruikt om de klanten bij hun achternaam aan te kunnen spreken of een begroeting op de tv te laten zien met hun naam erbij.
StackMySwitchUp @Blokker_19999 augustus 2016 10:41
Het feit dat betalingssystemen niet bij de kassa komen is totaal irrelevant, er staan enorm veel klantgegevens in die systemen, op het moment dat men een klantenkaart heeft, of airmiles, o.i.d.
Verwijderd @Blokker_19999 augustus 2016 12:47
Als je binnen weet te komen dan kan je vaak andere systemen ook besmetten. Veel systemen gaan namelijk uit dat ze op het internet netwerk een 'trust' relatie hebben met andere systemen.

Vaak sturen kassa systemen ook kaart gegevens door naar andere servers, en die informatie kan onderschept worden, op allerlei manieren.
Lordfox73 @StackMySwitchUp9 augustus 2016 09:20
Ik weet toevallig dat La Place op Utrecht CS dit systeem gebruikt (staat namelijk op de pinautomaat). Ik dacht dat dat deel van de horeca op Utrecht CS uitgebaat wordt door HMS Host, dus misschien zijn er meer zaken daar die het gebruiken. En volgens mij doet HMS Host ook op Schiphol de horeca, dus is het niet ondenkbaar dat het systeem daar ook gebruikt wordt. Maar goed, dat is allemaal vanuit het perspectief van de consument, harde informatie kan ik niet geven.
Verwijderd @Lordfox739 augustus 2016 12:48
In NL betalen veel mensen met PIN, daar is het risico volgens mij beperkter dan in de VS waar men vaak credit cards gebruikt. Een credit card is feitelijk niets anders dan een nummer.
TDeK @Verwijderd9 augustus 2016 14:38
Klopt, maar van de andere kant zijn creditcard betalingen terug te draaien, pin (debet) betalingen niet, of veel moeilijker. En vergeet niet dat juist daardoor creditcard maatschappijen veel hebben geïnvesteerd in fraude detectie systemen.
ShitHappens @Lordfox739 augustus 2016 19:10
Sterker nog: Heel NS Retail. Ook de zaakjes als Kiosk, Smullers, Broodzaak, Döner zaak waar ik even de naam van kwijt ben en meer.
chickpoint @StackMySwitchUp9 augustus 2016 16:10
Ik weet in ieder geval dat de Burger King van dit systeem gebruik maakt. Toen ik van de week hier op het station een ijsje ging halen stond het logo van Oracle in vol ornaat op de betaal terminals.
m4ikel 9 augustus 2016 08:48
Hij kwam erachter dat het om de Carbanak-groep gaat, doordat een van zijn bronnen vertelde dat het ondersteuningsportaal in verbinding stond met een server die vaak door de groep wordt gebruikt.
Ik vind het opvallend dat autheurechten organisaties tot het uiterste gaan om websites/servers te blokkeren (desnoods via DNS/IP) maar dat dit soort groepen rustig hun gang kunnen gaan.

Verschil moet er natuurlijk zijn..
Accretion @m4ikel9 augustus 2016 10:15
Wil je daadwerkelijk die discussie hier bij gaan betrekken?

Het is simpelweg een andere organisatie, met een ander doel.
Daarnaast kan een hackers organisatie heel snel wisselen van server.
cobis taba @m4ikel9 augustus 2016 10:44
Ja, want het wisselen van server is echt heel lastig...
Edgarz @m4ikel9 augustus 2016 19:13
Niet opvallend hoor. Die torrentboys hoppen niet zo vaak van server naar server. Daarvoor is het business model van illegale films of muziek niet lucratief genoeg. Die van criminelen des te meer en je zult verbaasd zijn hoe snel phishing servers na ontdekking geblokkeerd worden.
Verwijderd 9 augustus 2016 22:27
Lekker betrouwbaar, die artikelen, net als vele andere |:(
ninasky11 9 augustus 2016 11:09
Onderzoeker gaat ervan uit dat het Russische hackers zijn. Maar het kunnen dus ook Marokkaanse hackers zijn? Of Nederlandse hackers?
EektheMan @Verwijderd9 augustus 2016 22:15
Nee, het is een trend dat Russische daders blind verdedigd worden door een groep mensen die zich graag laten gebruiken. Klinkt niet enkel triest, maar veroorzaakt helaas ook daadwerkelijke slachtoffers.

Zoals je in artikelen van oa Ars kunt nalezen is het bekend dat de Russische regering deze hackersgroepen beschermd en zelfs ondersteund. In ruil moeten deze groepen de machthebbers helpen. Omdat ze gesteund worden doen ze blijkbaar niet altijd de moeite om zich goed te verbergen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq