حمله هکرهای چینی به کارگزاران دیتاسنترها/ استخراج اطلاعات حساس
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) اعلام کرد: محققان امنیتی چندین کمپین حمله را کشف کردهاند که توسط یک گروه چینی انجام شدهاند و کارگزارهای پایگاه داده (دیتاسنتر) را بهمنظور کاویدن ارز رمزنگاریشده، استخراج اطلاعات حساس و ساخت شبکه بات، برای حملات انکار سرویس (DDoS)، هدف حمله قرار میدهند.
محققان شرکت امنیتی GuardiCore Labs هزاران حمله را که در ماههای اخیر انجام شدهاند، مورد تجزیه و تحلیل قرار داده و حداقل سه نوع حمله به نامهای Hex، Hanako و Taylor که کارگزارهای مختلف MS SQL و MySQL هر دو سیستمعامل ویندوز و لینوکس را هدف حمله قرار میدهند، شناسایی کردهاند.
هدف این سه نوع حمله با هم تفاوت دارد.
Hex کاونده ارز رمزنگاریشده و تروجانهای دسترسی از راه دور (RATs) را روی ماشینهای آلوده نصب میکند.
Taylor یک دربپشتی و یک ثبتکننده صفحهکلید (keylogger) را نصب میکند.
Hanako از دستگاههای آلوده برای ساخت یک شبکه بات DDoS استفاده میکند.
به گزارش مهر،اکنون محققان صدها حمله Hex و Hanako و دهها هزار حمله Taylor را در هرماه ثبت کردهاند و دریافتهاند اکثر ماشینهای آسیبدیده در چین و بعضی از آنها در تایلند، ایالاتمتحده و ژاپن قرار دارند.
جهت دسترسی غیرمجاز به کارگزارهای پایگاه داده هدف، مهاجمان از حملات جستجوی فراگیر استفاده میکنند و سپس مجموعهای از دستورات SQL از پیش تعریفشده را جهت دستیابی به دسترسی دائمی و دور زدن ورودیها اجرا میکنند.
در هر سه نوع حمله گفتهشده (Hex، Hanako و Taylor) برای دسترسی دائمی به پایگاهداده قربانی، حسابهای کاربری دربپشتی در پایگاه داده ایجاد و درگاه مربوط به دسترسی از راه دور باز میشود.
این کار به مهاجمان اجازه می دهد تا مرحله بعدی حمله خود (یک کاونده ارز رمزنگاریشده، تروجان دسترسی از راه دور (RAT) یا یک بات دیداس) را بهصورت از راه دور بارگیری و نصب کنند.
درنهایت، مهاجمان برای از بین بردن رد پای خود، هرگونه فایل رجیستری و ورودی پوشه غیرضروری ویندوز را با استفاده از فایلهای batch از پیش تعریفشده و اسکریپتهای Visual Basic حذف میکنند.
بهمنظور جلوگیری از به خطرافتادن سیستمها، محققان به مدیران توصیه میکنند که همیشه از راهنماییهای مقاومسازی پایگاههای داده که توسط MySQL و مایکروسافت ارائه شدهاند استفاده کنند. آنها توصیه میکنند که مدیران مرتبا لیست ماشینهایی که به پایگاه داده آنها دسترسی دارند را بررسی کنند و این لیست را به حداقل برسانند.
همچنین به ماشینهایی که بهطور مستقیم از اینترنت قابلدسترسی هستند توجه ویژهای داشته باشند و از هرگونه تلاش برای اتصال از IP یا دامنهای که به این لیست تعلق ندارد، جلوگیری کنند.
