هکرهای چینی در پی پایگاه‌های داده

به گزارش شرکت مهندسی شبکه گستر، محققان از اجرای حملات گسترده‌ای خبر داده‌اند که در آنها یک گروه هکر چینی با رخنه به سرورهای پایگاه داده در کشورهای مختلف از آنها برای استخراج پول‌های دیجیتال، سرقت داد‌ه‌های حساس و ایجاد شبکه‌های مخرب (Botnet) استفاده می‌کنند.

بر اساس گزارشی که شرکت GuardiCore آن را منتشر کرده این گروه در قالب سه حمله موسوم به Hex،و Hanako و Taylor پایگاه‌های داده MS SQL و MySQL را بر روی هر دو بستر Windows و Linux از طریق اجرای حملات Brute Force هدف قرار می‌دهد.

اهداف این سه حمله، متفاوت از یکدیگر گزارش شده؛ در Hex با نصب برنامه‌های ناخواسته، مهاجمان اقدام به استخراج پول‌های دیجیتال با استفاده از منابع سرور آلوده شده می‌کنند. در Hanako از سرور آلوده شده بعنوان عضوی از شبکه مخرب برای اجرای حملات دیگر بهره‌گیری می‌شود. و در Taylor با نصب ابزار مخرب Keylogger و درب‌پشتی از فعالیت‌های انجام شده بر روی سرور جاسوسی می‌شود.

در همه این حملات پس از رخنه به سرور، برای تثبیت دسترسی، یک نام کاربری با حق دسترسی بالا در پایگاه داده ایجاد شده و درگاهی Remote Desktop بر روی سرور باز می‌شود.

وجود هر یک از نام‌های کاربری در پایگاه داده می‌تواند نشانه‌ای از تحت تسخیر بودن سرور باشد:

  • hanako
  • kisadminnew1
  • 401hk$
  • Guest
  • Huazhongdiguo110

همچنین مهاجمان این حملات در صورت نصب بودن ضدویروس‌هایی همچون Avira و Panda Security بر روی سرور، آنها را غیرفعال می‌کنند.

برای پاک نمودن ردپا، این مهاجمان با اجرای فایل‌های Batch و اسکریپت‌های VB سوابق رخنه را در محضرخانه، فایل‌ها و پوشه‌های مربوطه بر روی سرور حذف می‌کنند.

علاوه بر تخصیص گذرواژه پیچیده به نام‌های کاربری، به تمامی مدیران پایگاه داده توصیه می‌شود تا با مطالعه این راهنما و این راهنما از ایمن بودن پایگاه‌های داده تحت مدیریت خود اطمینان حاصل کنند.

مشروح گزارش GuardiCore در اینجا قابل دسترس و مطالعه است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *