استخراج رمز ارز با دو سال نفوذ در سرورهای MSSQL

به گفته دانشمندان امنیت سایبری از ماه می سال ۲۰۱۸ میلادی، یک شبکه مخرب بدافزاری بر ضد سرورهای MSSQL و در اختیار گرفتن کنترل حساب‌های کاربری، اقدام به اجرای اسکریپت‌های استخراج‌کننده ارز رمز بر روی سیستم‌عامل این سرورها می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یافته‌های جدید نشان می‌دهند که از ماه می سال ۲۰۱۸ میلادی، یک شبکه مخرب بدافزاری (Malware Botnet) با اجرای حملات سعی‌وخطا (Brute-force) بر ضد سرورهای Microsoft SQL – به اختصار MSSQL – و در اختیار گرفتن کنترل حساب‌های کاربری با سطح دسترسی admin اقدام به اجرای اسکریپت‌های استخراج‌کننده ارز رمز (Cryptocurrency Mining Script) بر روی سیستم‌عامل این سرورها می‌کرده‌است.

این شبکه مخرب همچنان فعال بوده و در هر روز به‌طور میانگین تقریباً ۳ هزار سرور جدید MSSQL را به تسخیر خود در می‌آورد.

بر اساس توانایی استخراج ارز رمز Vollar و رفتار به گفته محققان Vulgar آن، این شبکه مخرب، Vollgar نامگذاری شده ‌ست. جریان حمله طی دو سال فعالیت گردانندگان Vollgar تغییر چندانی نداشته است. اگر چه محققان روش‌های بکار رفته توسط این افراد را برنامه‌ریزی‌شده و در عین حال پرهیاهو توصیف کرده‌اند.

اجرای حملات سعی‌وخطای بر ضد سرورهای MSSQL موضوع جدیدی نیست. اما محققان بیش از ۱۲۰ نشانی IP را که از می ۲۰۱۸ از آنها برای اجرای این حملات توسط مهاجمان Vollgar بهره گرفته شده شناسایی کرده‌اند.

محققان معتقدند که اکثر این نشانی‌ها مربوط به دستگاه‌های هک شده‌ای هستند که از آنها برای آلوده کردن سرورهای دیگر استفاده شده است. در حالی که برخی نشانی‌های مذکور برای مدتی محدود و تنها در چند رخداد نقش داشته‌اند تعدادی دیگر از آنها بیش از سه ماه فعال بوده‌اند.

همچنین این شبکه مخرب دائماً در تکاپوی از دست دادن سرورهای آلوده و افزودن سرورهای جدید به خود است. تخمین زده شده که بدافزار استخراج‌کننده ارز رمز مورد استفاده Vollgar در بیش از ۶۰ درصد از سرورهای MSSQL آلوده حداکثر دو روز فعال بوده است.

این بدافزار بر روی حدود ۲۰ درصد از سیستم‌های MSSQL نیز بیش از یک هفته فعال بوده است. این احتمال می‌رود که بدافزار موفق به عبور از سد نرم‌افزارهای امنیتی نصب شده (در صورت وجود) بر روی این سرورها شده باشد.

جالب اینکه ۱۰ درصد نیز بیش از یک بار به بدافزار آلوده شده‌اند. یکی از دلایل آن می‌تواند عدم حذف صحیح بدافزار توسط مدیر سیستم و باز ماندن درب برای نصب مجدد بدافزار باشد.

اسکریپت‌های شناسایی و فهرست حساب‌های کاربری ساخته شده توسط Vollgar از طریق نشانی زیر قابل دسترس است:
https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

محققان از سال ۲۰۱۷ تا کنون علاوه بر Vollgar چهار شبکه مخرب دیگر با نام‌های Bondnet، Hex-Men، Smominru و Nansh۰u را که به‌طور خاص پایگاه‌های داده MSSQL را مورد هدف قرار می‌داده‌اند را شناسایی کرده‌اند. با این حال محققان تعداد شبکه‌های مخرب استخراج کننده ارز رمز را بیش از ۳۰ مورد تخمین می‌زنند. شبکه‌هایی که هزاران و بعضاً ده‌ها هزار ماشین در سرتاسر جهان را تحت سیطره خود داشته و از آنها برای اجرای انواع حملات سایبری استفاده می‌کنند.

بر خلاف Vollgar که تنها بر روی پایگاه‌های داده MSSQL تمرکز دارد اکثر این شبکه‌های مخرب، دامنه اهداف خود را محدود به سرویس‌دهنده‌ای خاص نکرده‌اند.
در اکثر مواقع پویش‌های انجام شده جهت گسترش شبکه‌های مخرب مجموعه‌ای از نرم‌افزارها و سرویس‌دهندگانی را شامل می‌شود که از آنها برای رخنه و جاسازی بدافزار استفاده می‌گردد. SSH، SMB، FTP، HTTP و MSSQL پودمان‌ها / سرویس‌دهندگانی هستند که درگاه‌های مرتبط با آنها بیشترین فراوانی را در مورد بهره‌جویی قرار گرفتن در جریان این پویش‌ها داشته‌اند.

گرچه نمی‌توان با اطمینان گفت که هدف از هر یک از این پویش‌ها اجرای یک حمله استخراج ارز رمز بوده باشد اما تجربه نشان می‌دهد که این نوع کارزارها همواره منافع مالی را دنبال می‌کنند.
گروه‌های سایبری استخراج‌کننده ارز رمز به دنبال دو چیز هستند؛ ماشین‌های با منابع قابل‌توجه و اهدافی با تعداد بالا. ویژگی‌هایی که در اکثر مواقع سرورهای پایگاه داده و RDP حائز آن هستند.

همچنین مهاجمان با تسخیر این ماشین‌ها در هر تعداد که بتوانند تلاش می‌کنند تا پروسه‌ها و فایل‌های متعلق به مهاجمان رقیب خود را از کارانداخته و کلیه منابع را در اختیار خود بگیرند. چنین قابلیت حذف اسکریپت‌های شبکه‌های مخرب هم‌قطار نیز در Vollgar به چشم می‌خورد.
در حالی که عمده شبکه‌های مخرب همچنان بر روی استخراج Monero تمرکز می‌کنند اما استخراج موفق این ارز رمز به‌تدریج در حال دشوار شدن بوده و به همین خاطر مهاجمان بدنبال تجربه استخراج ارز رمزهای کمتر شناخته شده نظیر Vollar و TurtleCoin هستند.