De SAP erp-suite wordt gericht belaagd met malware die onder meer login-gegevens en screenshots lekt, evenals het overnemen van een systeem mogelijk maakt.
Hoewel vroege versies van de malware al vroeg dit jaar de ronde deden, bleken deze nog in eerste instantie alleen na te gaan of SAP als toepassing op een systeem was geïnstalleerd. Dit najaar werd evenwel ook malware gevonden die uitdrukkelijk gegevens over het gebruik van SAP doorgeeft. De malware is gekend als TrojanSpy:Win32/Gamker.A. Uit een onderzoek bij Microsoft blijkt dat de malware onder meer login-gegevens registreert en screenshots doorstuurt naar het systeem van misdadigers. Bovendien wordt door het gebruik van de saplogon.exe ook het verzamelen van bijkomende informatie getriggerd.
Deze Gamker malware zou onder meer gebruik maken van de code van de Carberp malware, waarvan de code eerder dit jaar bekend raakte (en waarvan de auteurs in Oekraïne werden gearresteerd). Carberp voorziet ook op de mogelijkheid om een machine vanop afstand over te nemen.
Voorts zou ook een variant van de Shiz ‘remote access trojan’ het op SAP toepassingen gemunt hebben, allicht met het oog op diefstal van gegevens in de toekomst.
Securityspecialisten drukken hun bezorgdheid uit over deze nieuwe evolutie van malware die uitdrukkelijk erp-type software belaagt. Dergelijke software behandelt immers in bedrijven grote hoeveelheden vertrouwelijke informatie, van zowel financiële als bedrijfstechnische aard. Bedrijven worden dan ook aanbevolen om hun securityvoorzieningen rond erp-software – zoals veilige paswoorden, twee-factor authenticatie en een intensief securitybeheer – aan te scherpen.
