امینت

هکرهای چینی در پی پایگاه‌های داده

منبع: شبکه گستر

محققان از اجرای حملات گسترده‌ای خبر داده‌اند که در آنها یک گروه هکر چینی با رخنه به سرورهای پایگاه داده در کشورهای مختلف از آنها برای استخراج پول‌های دیجیتال، سرقت داد‌ه‌های حساس و ایجاد شبکه‌های مخرب (Botnet) استفاده می‌کنند.

بر اساس گزارشی که شرکت GuardiCore آن را منتشر کرده این گروه در قالب سه حمله موسوم به Hex،و Hanako و Taylor پایگاه‌های داده MS SQL و MySQL را بر روی هر دو بستر Windows و Linux از طریق اجرای حملات Brute Force هدف قرار می‌دهد.

اهداف این سه حمله، متفاوت از یکدیگر گزارش شده؛ در Hex با نصب برنامه‌های ناخواسته، مهاجمان اقدام به استخراج پول‌های دیجیتال با استفاده از منابع سرور آلوده شده می‌کنند. در Hanako از سرور آلوده شده بعنوان عضوی از شبکه مخرب برای اجرای حملات دیگر بهره‌گیری می‌شود. و در Taylor با نصب ابزار مخرب Keylogger و درب‌پشتی از فعالیت‌های انجام شده بر روی سرور جاسوسی می‌شود.

در همه این حملات پس از رخنه به سرور، برای تثبیت دسترسی، یک نام کاربری با حق دسترسی بالا در پایگاه داده ایجاد شده و درگاهی Remote Desktop بر روی سرور باز می‌شود.

وجود هر یک از نام‌های کاربری در پایگاه داده می‌تواند نشانه‌ای از تحت تسخیر بودن سرور باشد:

hanako
kisadminnew1
401hk$
Guest
Huazhongdiguo110
همچنین مهاجمان این حملات در صورت نصب بودن ضدویروس‌هایی همچون Avira و Panda Security بر روی سرور، آنها را غیرفعال می‌کنند.

برای پاک نمودن ردپا، این مهاجمان با اجرای فایل‌های Batch و اسکریپت‌های VB سوابق رخنه را در محضرخانه، فایل‌ها و پوشه‌های مربوطه بر روی سرور حذف می‌کنند.


​​