+43 699 / 18199463
office@itexperst.at

Hackerangriff auf Oracle Tochter Micros

Laut Informationen des Softwareunternehmens Oracle wurde dessen Tochterunternehmen Micros Systems in der zweiten Juli-Hälfte von Hackern angegriffen. Oracle hatte daraufhin bösartigen Code auf verschiedenen Micros Systemen entdeckt.

Die Oracle Tochter Micros gehört zu den 3 Weltmarktführern im Bereich Kassensystemen und Kreditkartenlesegeräten. Diese werden an mehr als 330.000 Kassen weltweit eingesetzt, davon über 200.000 im Gastronomiebereich, über 100.000 bei Händlern und über 30.000 in Hotels.

Das Sicherheitsunternehmen KrebsOnSecurity nahm die Untersuchung des Vorfalles am 25. Juli auf und seine Analysen verbinden den Angriff mit der bekannten russischen Hackergruppe Carbanak Gang. Rückschlüsse hierzu ergeben sich aus Feststellungen, dass das Kundenportal von Micros mit Servern in Russland kommuniziert hatte. Diese Gruppe ist seit Langem bekannt als Teil eines russischen Cybersyndikats, welches für etliche Diebstähle bei Banken, Händlern und anderen Unternehmen verantwortlich ist. Der Angriff auf Micros passt demnach in ihr Schema. Laut Krebs wurden dabei etwa 100 Computer und insbesondere das Micros Support-Portal kompromittiert.

Das genaue Ausmaß des Hackerangriffs wird derzeit immer noch untersucht. Auch ist noch nicht klar, wann genau der erste Angriff stattfand. Oracle ging zunächst nur davon aus, dass lediglich eine geringe Anzahl von Computern und Servern in der Verkaufsabteilung betroffen waren. Doch nach dem Einsatz von weiteren Sicherheitstools wurde klar, dass der Umfang doch viel größer war, als angenommen. Über 700 Oracle-Systeme waren letztendlich von dem Angriff betroffen und infiziert worden.

Auch von wo aus der Vorfall eingeleitet wurde, ist noch nicht eindeutig geklärt. Die Untersuchungsergebnisse deuten darauf hin, dass der Angriff höchstwahrscheinlich mit der Infizierung eines bestimmten Bereichs im Oracle Netzwerk begann und sich von dort aus ausbreitete. Eines dieser Bereiche war das Kundenportal, welches Oracle einsetzt, um Micros-Kunden online technisch zu unterstützen. Der auf diesem Portal eingeschleuste bösartige Code half den Hackern, sensible Daten wie Anwendernamen und Passwörter der Micros-Kunden abzugreifen, sowie diese sich auf der Supportwebseite anmeldeten.

Oracle hat noch keine offizielle Erklärung zu dem Vorfall abgegeben oder zu Nachfragen Stellung genommen. Das Unternehmen teilte lediglich mit, das die internen Netzwerke und andere Cloud- und Serviceangebote nicht von dem Vorfall betroffen waren. Insgesamt entsteht der Eindruck das Oracle den Vorfall herunterzuspielen versucht. Dies geht aus Aussagen hervor wie „Kreditkartendaten in der Micros-Kundenumgebungen werden zu jeder Zeit in verschlüsselter Form gehandhabt.“ Die Kunden von Micros seien aufgefordert worden Passwörter zum Onlinesupport zu ändern. Oracle habe seine Kunden schon alleine deshalb informiert, um etwaige Verzögerungen im Bereich des Kundensupports zu rechtfertigen.

Hieraus kann jedoch geschlussfolgert werden, dass Oracle selbst besorgt ist, das Kundendaten abgegriffen werden oder das Supportportal missbraucht wird, um Malware auf Kreditkartenlesegeräten hochzuladen. Avivah Litan, ein Betrugsanalyst bei Gartner Inc., ist der Ansicht, dass Oracle zu sagen scheint, dass ihre Systeme zwar verschlüsselt seien, aber dass die eigentliche Gefahr bei seinen Kunden vor Ort läge infolge dieser Verletzung.

Gründer und IT-Sicherheitsverantwortlicher bei Hold Security, Alex Holden geht davon aus, dass die verantwortlichen Hacker auch die Server von POS und Kassenanbietern infiltriert haben, darunter Cin7, ECRS, Navy Zebra, PAR Technology und Uniwell. Zusammengefasst stellen diese Unternehmen mindestens eine Million POS-Systeme weltweit. Nur diese Anbieter hätten aktiv auf die Bekanntgabe der Bedrohung reagiert und die Liste sei eigentlich länger.

Laut Holden, wollen viele Hacker gar nicht mehr bestimmte POS-Infrastrukturen von Einzelhändlern direkt angreifen, sie bevorzugen es vielmehr, die Angriffe über die POS-Anbieter einzuleiten. An der Quelle können die POS-Systeme effektiver angegriffen werden und gleich massenweise Daten von verschiedenen Händlern gestohlen werden.

Nach Meinung von George Rice, leitender Direktor bei HPE Security, sei es selbstredend, das Unternehmen regelmäßig ihre POS-Systeme aktualisieren müssen. Jedoch sind die Zugangspunkte, mit denen solche Aktualisierungen durchgeführt werden, genau die Schwachpunkte, auf die es die Datendiebe abgesehen haben. Und dabei lassen sie sich Zeit. Die Schadsoftware liegt oft monatelang unentdeckt in den Systemen, bevor sie eingesetzt wird.

Die einzelnen POS-Systemanbieter meldeten sich inzwischen zu dem Vorfall. Navy Zebra gab bekannt, dass dessen Webseite am 11. August angegriffen wurde. Jedoch seien auf dem betroffenen Server keine Kundendaten gespeichert gewesen. Cin7 sagte, es wäre nicht angegriffen worden. Uniwell bestätigte, dass kürzlich ein Webserver mit Bedingungsanleitungen und Servicehandbüchern etc. kompromittiert worden sei. Aber sie können keinen Zusammenhang mit dem Oracle Angriff erkennen. Bei ECRS waren die Hacker wohl erfolgreicher und konnten den Schadcode in einem der Webportale einschleusen. Wahrscheinlich hätten sie sich Zugang zu Kundeninformationen verschafft. Das betroffene System sei jedoch getrennt von den Händlersystemen und enthielt auch keine sensiblen Kreditkarteninformationen. PAR Technologies bestätigte, dass es ebenfalls angegriffen wurde, jedoch keine Daten kompromittiert wurden.

Bei seinen Untersuchungen konnten Holden sehen, dass eine Anzahl von POS-Softwareanbietern erfolgreich angegriffen wurden. Er konnte gestohlene Daten und Backdoor-Passwörter in Untergrundforen aufspüren. Sie wurden dort zum Verkauf angeboten für 10.00 US-Dollar.

Das Kreditkartenunternehmen Visa gab eine Sicherheitswarnung an Unternehmen heraus. Unternehmen, die Point-of-Sale-Geräte von Oracle MICROS verwendeten, sollten die Geräte auf bösartige Software oder ungewöhnliche Netzwerkaktivitäten überprüfen und die Passwörter der Geräte ändern. Visa veröffentlichte auch eine Liste mit Internetadressen, die bei dem Oracle-Vorfall eine Rolle gespielt haben.

Artikel von krebsonsecurity.com, 08.08.2016: Data Breach At Oracle’s MICROS Point-of-Sale Division
Artikel von theregister.co.uk, 12.008.2016: A Russian cyber-gang, the Oracle MICROS hack, and five more POS makers in crims‘ sights
Artikel von krebsonsecurity.com, 13.08.2016: Visa Alert and Update on the Oracle Breach

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen