هکرهای چینی در پی پایگاههای داده
به گزارش شرکت مهندسی شبکه گستر، محققان از اجرای حملات گستردهای خبر دادهاند که در آنها یک گروه هکر چینی با رخنه به سرورهای پایگاه داده در کشورهای مختلف از آنها برای استخراج پولهای دیجیتال، سرقت دادههای حساس و ایجاد شبکههای مخرب (Botnet) استفاده میکنند.
بر اساس گزارشی که شرکت GuardiCore آن را منتشر کرده این گروه در قالب سه حمله موسوم به Hex،و Hanako و Taylor پایگاههای داده MS SQL و MySQL را بر روی هر دو بستر Windows و Linux از طریق اجرای حملات Brute Force هدف قرار میدهد.
اهداف این سه حمله، متفاوت از یکدیگر گزارش شده؛ در Hex با نصب برنامههای ناخواسته، مهاجمان اقدام به استخراج پولهای دیجیتال با استفاده از منابع سرور آلوده شده میکنند. در Hanako از سرور آلوده شده بعنوان عضوی از شبکه مخرب برای اجرای حملات دیگر بهرهگیری میشود. و در Taylor با نصب ابزار مخرب Keylogger و دربپشتی از فعالیتهای انجام شده بر روی سرور جاسوسی میشود.
در همه این حملات پس از رخنه به سرور، برای تثبیت دسترسی، یک نام کاربری با حق دسترسی بالا در پایگاه داده ایجاد شده و درگاهی Remote Desktop بر روی سرور باز میشود.
وجود هر یک از نامهای کاربری در پایگاه داده میتواند نشانهای از تحت تسخیر بودن سرور باشد:
- hanako
- kisadminnew1
- 401hk$
- Guest
- Huazhongdiguo110
همچنین مهاجمان این حملات در صورت نصب بودن ضدویروسهایی همچون Avira و Panda Security بر روی سرور، آنها را غیرفعال میکنند.
برای پاک نمودن ردپا، این مهاجمان با اجرای فایلهای Batch و اسکریپتهای VB سوابق رخنه را در محضرخانه، فایلها و پوشههای مربوطه بر روی سرور حذف میکنند.
علاوه بر تخصیص گذرواژه پیچیده به نامهای کاربری، به تمامی مدیران پایگاه داده توصیه میشود تا با مطالعه این راهنما و این راهنما از ایمن بودن پایگاههای داده تحت مدیریت خود اطمینان حاصل کنند.
مشروح گزارش GuardiCore در اینجا قابل دسترس و مطالعه است.