Een onlangs door onderzoekers van ERPScan ontdekte trojan blijkt niet alleen te checken welke computers in de nabije omgeving SAP-cliëntapplicaties draaien, maar ze ook binnen te dringen. Daarmee kunnen vanuit SAP-servers gegevens gestolen worden.

‘Win32/Gamker.A’ werd in oktober opgemerkt door het Russische antivirusbedrijf Dr. Web en leek destijds relatief onschuldig, al plaatste CTO Alexander Polyakov van ERPScan toentertijd al een kanttekening. “We hebben de malware geanalyseerd en op dit moment blijkt dat het niet veel meer doet dan scannen of er SAP-applicaties geïnstalleerd staan. Het kan wel wijzen op toekomstige aanvallen.”

Slapende trojan wordt wakker

Die aanvallen blijken nu daadwerkelijk plaats te vinden, komt uit onderzoek van Microsoft naar voren. “Dit is geen onschuldige dataverzamelende operatie om te kijken of SAP aanwezig is. Het is een aanval met voorbedachten rade op SAP”, stelt Microsoft-onderzoeker Geoff McDonald woensdag in een blog op TechNet. “De aanvallers gebruiken de executie van SAP-component ‘saplogon.exe’ om de command-line arguments die het verwerkt te monitoren en sturen daarbij series van 10 screenshots naar de C&C-server.”

Gamker blijkt een keylogging component te bevatten die alle toetsaanslagen van een geïnfecteerde computer opslaat en doorstuurt. Hiermee kunnen loginnamen en wachtwoorden voor SAP-clientapplicaties worden verkregen. Ook bevat Gamker een VNC-component die het mogelijk maakt een geïnfecteerde pc over te nemen. Gewapend met logingegevens en VNC-functionaliteit kunnen hackers relatief eenvoudig SAP-servers vanaf cliëntmachines aanvallen.

Er valt veel te halen

SAP-software wordt door veel grotere organisaties gebruikt om operationele processen in kaart te brengen en te beheren, onder andere op gebied van HR, productie en sales. Dit betekent dat SAP-servers meestal vrachtladingen aan bedrijfsgegevens bevatten, waaronder klantgegevens, waardevol intellectueel eigendom en financiële data. 80% van de Forbes 500 bedrijven heeft SAP-producten geïnstalleerd staan.

"Dat dit Trojaanse paard bedrijven aanvalt in plaats van individuen is een alarmerende trend. We zullen verdere ontwikkelingen nauwlettend in de gaten houden", stelt McDonald.