یک هکر چینی، ۵۰ هزار سرور MS-SQL و PHPMyAdmi را در سراسر جهان مورد حمله سایبری قرار داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی از شناسایی یک کمپین مخرب راهاندازی شده بهوسیله یک هکر چینی خبر دادند که بیش از ۵۰ هزار سرور MS-SQL و PHPMyAdmi ویندوز را در سراسر جهان با نوعی بدافزار آلوده کردهبود.
شرکتهای فعال در زمینههای مراقبتهای بهداشتی، مخابراتی، رسانهای و فناوری اطلاعات تحتتاثیر قرار گرفتهاند. تعداد قابل توجهی از سرورهای مورد تهاجم واقعشده از روتکیتهای مخصوص کرنل برای مقابله با بدافزارها (معمولا ماینرهای ارزهای دیجیتالی) بهره میگرفتند و توسط اطلاعات آلوده مورد نفوذ واقع شدند.
این درایور کرنل دارای امضای دیجیتالی صادر شده بهوسیله Verisign است و با VMProtect، نرمافزاری برای خنثیسازی فرایند مهندسی معکوس و پژوهشگران بدافزارها، محافظت میشود.
هکرهای چینی از اسکنر پورت، ابزار بروت فورس MS-SQL و سپس یک فرمان اجرای کد از راه دور برای گسترش بدافزار استفاده کردند و با آزمایش دهها هزار ترکیب مختلف به رمزهای عبور و ورود به سیستم دسترسی یافتند.
به گفته کارشناسان، هکرهای چینی همه زیرساختها را روی سرور فایل بدون کنترلهای هویت فعال رها کردهبودند.
Ophir Harpaz و Daniel Goldberg، محققان اصلی پروژه کمپین مخرب یاد شده را در ماه آوریل ۲۰۱۹ شناسایی کردند. این کمپین شامل سه حمله با آدرسهای اینترنتی متعلق به آفریقای جنوبی است که توسط شبکه حسگر جهانی شرکت مذکور علامتگذاری میشود.
تحلیلگران حملاتی را شناسایی کردند که به الگوهای مشاهدهشده در ۲۶ فوریه ۲۰۱۹ شباهت داشتند. این تهاجمها روزانه بیش از ۷۰۰ قربانی میگرفتند. بهعلاوه ۲۰ نوع متفاوت از دادههای مختلف وجود داشت که در بازه زمانی یک هفته ایجاد شده و بلافاصله مورد استفاده قرار میگرفتند.
این دو تحلیلگر اعلام کردند: کمپین Nansh0u، یک حمله استخراج ارز معمول نیست. این کمپین از روشهای مشاهدهشده در انواع APT مانند اعتبارنامههای جعلی استفاده میکند.
آنها افزودند: یک نمونه دیگر پیچیدگی، درایور رها شده با بارهای مختلف است. اخذ گواهینامه امضا شده برای یک درایور به برنامهریزی و اجرای جدی نیاز دارد. علاوهبر این، درایور بهصورت عملی هر نسخه ویندوز را از ویندوز ۷ تا ۱۰ و همچنین نسخههای بتا پشتیبانی میکند.
پژوهشگران با اشاره به چند تصمیمگیری عجیب SecOps از سوی مهاجم نوشتند: «مهاجمان معمولاً زیرساخت کلی خود را روی یک سرور فایل بدون کنترلهای هویت فعال نگهداری نمیکنند. ما میتوانیم به الگوریتمها، فهرستهای قربانیان، نامهای کاربری و فایلهای دوتایی با یک کلیک موس دسترسی پیدا کنیم. بهعلاوه، تمام فایلهای دوتایی برچسب زمانی اصلی خود را دارند؛ یک نویسنده با تجربه بدافزار برای پیچیده کردن فرایند تجزیهوتحلیل به آنها نفوذ میکند.»