Se ofrece una prueba de concepto de cómo hackear un ERP
Un par de investigadores han demostrado, en su Project Mayhem, cómo hackear el ERP de Microsoft y modificar las cuentas y registros contables de una empresa.
Investigadores de seguridad han presentado una prueba de concepto capaz de acceder a la base de datos a través del ERP de Microsoft y después desviar fondos mientras se evita la detección.
Han sido Tom Eston y Brett Kimmel, de SecureState, quien presentaron el posible malware la semana pasada, durante la celebración de la conferencia Black Hat Abu Dhabi. En la página de SecureState puede encontrarse un documento con el ataque simulado, bautizado como Project Mayhem.
Acceder a un ERP, o sistema de planificación de recursos empresariales, es el no va más para un hacker ya que una vez dentro, el ciberdelincuente podría tener acceso al software financiero, además de a las aplicaciones que llevan a las operaciones de negocio.
Además de Microsoft, cuyo ERP está diseñada para medianas empresas, otros fabricantes de sistemas ERP son Oracle o SAP.
Los expertos dicen que hackear un ERP no es tarea fácil, sobre todo porque se necesita algo más que experiencia técnica. Sería necesario un contable para dar sentido a la información que hay en la base de datos y manipular las cuentas de manera que se evite una detección inmediata.
Para demostrar su éxito, Project Mayhem no sólo contó con expertos técnicos, sino con un contable público certificado, lo que llevó a un conocimiento único que posibilitaba el ataque. Lo primero que hicieron los investigadores de SecureState es encontrar la manera de acceder a la base de datos de Microsoft SQL Server a través de los clientes de Microsoft Dynamics GP (antes denominado Great Plain), bien sea a través de un código malicioso o llevando al usuario a visitar una página web desde la que se le pudiera descargar el código de ataque. Como vemos, una vez más el usuario es el eslabón más débil de la cadena.
Una vez que el código está instalado, se pueden interceptar las comunicaciones a través de ODBC entre el cliente y la base de datos, y también inyectar comandos. En este punto un hacker podría manipular los datos financieros y cambiar las entradas para mover los fondos a una cuenta externa. Los investigadores de SecureState fueron capaces de alterar la dirección de envío de los proveedores, crear un nuevo vendedor, cambiar el libro de registros contables, incrementar el límite crédito del cliente y el balance de crédito en la cuenta de un cliente para que consiga más fondos.
Dependiendo de su sofisticación, el malware podría no ser detectado por un software antivirus, aseguraron los expertos, que también explicaron que el tiempo que pueda permanecer sin detectar dependería del tipo de tecnología que se utilice.