Un groupe russe de cybercriminalité organisé connu pour avoir piraté des banques et des détaillants semble avoir piraté des centaines de systèmes informatiques chez le géant du logiciel Oracle Corp., a appris BreachTrace. Plus alarmant, les attaquants ont compromis un portail de support client pour les entreprises utilisant le MICROS d’Oracle point de vente systèmes de paiement par carte de crédit.
Interrogé ce week-end pour commenter les rumeurs d’une importante violation de données affectant potentiellement les clients de sa division de vente au détail, Oracle a reconnu avoir « détecté et traité du code malveillant dans certains systèmes MICROS hérités ». Il a également déclaré qu’il demandait à tous les clients MICROS de réinitialiser leurs mots de passe pour le portail de support en ligne MICROS.
MICROS fait partie des trois principaux fournisseurs de points de vente dans le monde. La division MICROS d’Oracle vend des systèmes de point de vente utilisés dans plus de 330 000 caisses enregistreuses dans le monde. Lorsqu’Oracle a acheté MICROS en 2014, la société a déclaré que les systèmes de MICROS étaient déployés dans plus de 200 000 points de vente d’aliments et de boissons, plus de 100 000 sites de vente au détail et plus de 30 000 hôtels.
La taille et la portée de l’effraction font toujours l’objet d’une enquête, et on ne sait toujours pas quand les attaquants ont eu accès pour la première fois aux systèmes d’Oracle. Des sources proches de l’enquête indiquent qu’Oracle a d’abord considéré que la violation se limitait à un petit nombre d’ordinateurs et de serveurs de la division de vente au détail de l’entreprise. Cette source a déclaré que peu de temps après qu’Oracle ait déployé de nouveaux outils de sécurité sur les systèmes du réseau concerné, les enquêteurs ont réalisé que l’intrusion avait touché plus de 700 systèmes infectés.
BreachTrace a commencé à enquêter sur cet incident le 25 juillet 2016 après avoir reçu un e-mail d’un client et lecteur d’Oracle MICROS qui a signalé avoir entendu parler d’une violation potentiellement importante dans la division de vente au détail d’Oracle.
« Je ne sais pas dans quelle mesure d’autres qu’ils l’ont découvert la semaine dernière », a déclaré le lecteur, qui a accepté d’être cité ici en échange de l’anonymat. « Par excès de prudence, ils nous ont informés et semblent avoir indiqué que l’incident était isolé pour Oracle membres du personnel et non des clients comme nous. De plus, cet avis visait à expliquer aux clients la raison de tout retard dans l’assistance et le service à la clientèle, car ils actualisaient/ré-imageaient les ordinateurs des employés.
Deux experts en sécurité informés de l’enquête sur la violation et qui ont demandé à rester anonymes parce qu’ils n’avaient pas l’autorisation de leur employeur de parler officiellement ont déclaré que le portail de support client MICROS d’Oracle avait été vu en train de communiquer avec un serveur connu pour être utilisé par le gang Carbanak. Carbanak fait partie d’un syndicat russe de la cybercriminalité qui est soupçonné d’avoir volé plus d’un milliard de dollars à des banques, des détaillants et des entreprises hôtelières au cours des dernières années.
De nombreuses marques bien connues de vente au détail, d’hôtellerie, d’alimentation et de boissons utilisent MICROS.
Une source informée de l’enquête indique que la violation a probablement commencé avec un seul système infecté à l’intérieur du réseau d’Oracle, qui a ensuite été utilisé pour compromettre des systèmes supplémentaires. Parmi ceux-ci figurait un «portail de billetterie» client qu’Oracle utilise pour aider les clients de MICROS à résoudre à distance les problèmes de leurs systèmes de point de vente.
Ces sources ont en outre déclaré que les intrus avaient placé un code malveillant sur le portail d’assistance MICROS et que le logiciel malveillant permettait aux attaquants de voler les noms d’utilisateur et les mots de passe des clients MICROS lorsque les clients se connectaient au site Web d’assistance.
Oracle a refusé de répondre aux questions directes sur la violation, affirmant seulement que le réseau d’entreprise d’Oracle et les autres offres de cloud et de services d’Oracle n’étaient pas impactés. La société a également cherché à minimiser l’impact de l’incident, soulignant que « les données des cartes de paiement sont cryptées à la fois au repos et en transit dans les environnements clients hébergés par MICROS ».
Dans une déclaration qu’Oracle est apparemment en train d’envoyer aux clients MICROS, Oracle a déclaré qu’il forçait une réinitialisation du mot de passe pour tous les comptes de support sur le portail MICROS. Oracle a ajouté : « Nous vous recommandons également de modifier le mot de passe de tout compte utilisé par un représentant MICROS pour accéder à vos systèmes sur site. »
ANALYSE
Cette brèche pourrait n’être rien de plus qu’une vilaine épidémie de logiciels malveillants chez Oracle. Cependant, l’implication apparente du gang Carbanak rend peu probable que les attaquants n’aient pas réussi à saisir l’énormité d’accès et de pouvoir que le contrôle sur le portail de support MICROS leur accorderait.
En effet, la propre déclaration d’Oracle semble suggérer que l’entreprise craint que des informations d’identification compromises pour les comptes clients sur le portail d’assistance MICROS puissent être utilisées pour administrer à distance – et, plus important encore, pour télécharger des logiciels malveillants voleurs de cartes vers – certains points de vente de clients. systèmes. Le terme « sur site » fait référence aux appareils de point de vente qui sont physiquement connectés aux caisses enregistreuses dans les magasins des clients MICROS.
Aviva Litananalyste fraude chez Gartner Inc.dit qu’Oracle semble dire que ses systèmes sont cryptés, mais que ce sont les appareils sur site du client qui représentent le véritable danger à la suite de cette violation.
« Ce [incident] pourrait expliquer beaucoup de choses sur la source de certains de ces hacks de point de vente au détail et marchand que personne n’a été en mesure de lier définitivement à un seul fournisseur de services de point de vente », a déclaré Litan. « Je dirais qu’il y a de grandes chances que les pirates dans ce cas aient trouvé un moyen d’accéder à distance » aux appareils de point de vente sur site des clients MICROS.
Les logiciels malveillants basés sur les points de vente ont été à l’origine de la plupart des violations de cartes de crédit au cours des deux dernières années, y compris des intrusions chez Target et Home Depot, ainsi que des violations chez un grand nombre de fournisseurs de points de vente. Le malware est généralement installé via des outils d’administration à distance piratés. Une fois que les attaquants ont chargé leur logiciel malveillant sur les appareils du point de vente, ils peuvent capturer à distance les données de chaque carte glissée dans cette caisse enregistreuse.
Les voleurs peuvent ensuite vendre les données à des escrocs qui se spécialisent dans le codage des données volées sur n’importe quelle carte à bande magnétique et utilisent les cartes pour acheter des cartes-cadeaux et des produits à prix élevé dans des magasins à grande surface comme Target et Best Buy.
La violation survient à un moment charnière pour Oracle, qui a du mal à rivaliser avec d’autres géants du logiciel comme Amazon et Google dans les services basés sur le cloud. Le mois dernier, Oracle annoncé il faudrait 9 milliards de dollars pour acquérir NetSuite Inc.l’une des premières sociétés de services cloud.