Security-onderzoekers Tom Eston en Brett Kimmel van het bedrijf SecureState doen hun ontdekking uit de doeken in een white paper over Project Mayhem. De door hun ontwikkelde malware kan binnendringen in een database die achter de Dynamics ERP-producten van Microsoft draait. Het duo heeft de proof-of-concept code vorige week gepresenteerd op de Black Hat-conferentie in Abu Dhabi.

Hacker heeft wel accountant nodig

Eenmaal binnengedrongen in de database is het een eitje voor de hackers om toegang te krijgen tot de financiële applicatie of de applicaties die de zakelijke processen sturen. Overigens is het binnendringen van het systeem misschien voor een hacker relatief makkelijk, daarmee is de financiële fraude nog geen feit.

Om enigszins chocola te maken van de blootliggende gegevens is de kennis van een accountant nodig, zegt Matthew Neely, eveneens van SecureState. Die financiële kennis is ook nodig “om de data onopgemerkt te manipuleren", vertelt hij aan InfoWorld, een Amerikaanse zustersite van Webwereld.

ODBC-verbinding aftappen

De onderzoekers vonden een manier om de Microsoft SQL Server-database binnen te dringen via de Microsoft Dynamics GP-client. Daarvoor is wel eerst een geauthenticeerde gebruiker van die software nodig. Die persoon moet in een phishingmail trappen of zelfstandig naar een website surfen waarin kwaadaardige code zit verstopt. Die code kan de via ODBC lopende communicatie aftappen tussen client en de database, en zo eigen commando's injecteren.

“Denk aan een telefoonlijn tussen de client en de database", zegt Neely. “Dat is de ODBC-verbinding en die tappen we af zodat we kunnen 'afluisteren' wat wordt 'gezegd' en daarin ook 'meespreken'." Via die injecties kan financiële data worden gemanipuleerd, en geldstromen worden omgeleid, ook naar buiten toe. Er kunnen leveranciers worden toegevoegd in de database, kredietlimieten worden verhoogd of terugbetalingen op klanten met gemanipuleerde bankrekeningen worden gedaan.

Onder de radar

De malware zou vooralsnog onontdekt langs securityprogramma's gaan. Wel hangt het van de gebruikte beveiligingssoftware af hoe lang de operatie onontdekt blijft. Neeley zegt dat het doel van de proof-of-concept code is bedrijven te waarschuwen om zo meer veiligheid in te bouwen in hun werkwijze.