هکرهای چینی در پی پایگاههای داده
محققان از اجرای حملات گستردهای خبر دادهاند که در آنها یک گروه هکر چینی با رخنه به سرورهای پایگاه داده در کشورهای مختلف از آنها برای استخراج پولهای دیجیتال، سرقت دادههای حساس و ایجاد شبکههای مخرب (Botnet) استفاده میکنند.
بر اساس گزارشی که شرکت GuardiCore آن را منتشر کرده این گروه در قالب سه حمله موسوم به Hex،و Hanako و Taylor پایگاههای داده MS SQL و MySQL را بر روی هر دو بستر Windows و Linux از طریق اجرای حملات Brute Force هدف قرار میدهد.
اهداف این سه حمله، متفاوت از یکدیگر گزارش شده؛ در Hex با نصب برنامههای ناخواسته، مهاجمان اقدام به استخراج پولهای دیجیتال با استفاده از منابع سرور آلوده شده میکنند. در Hanako از سرور آلوده شده بعنوان عضوی از شبکه مخرب برای اجرای حملات دیگر بهرهگیری میشود. و در Taylor با نصب ابزار مخرب Keylogger و دربپشتی از فعالیتهای انجام شده بر روی سرور جاسوسی میشود.
در همه این حملات پس از رخنه به سرور، برای تثبیت دسترسی، یک نام کاربری با حق دسترسی بالا در پایگاه داده ایجاد شده و درگاهی Remote Desktop بر روی سرور باز میشود.
وجود هر یک از نامهای کاربری در پایگاه داده میتواند نشانهای از تحت تسخیر بودن سرور باشد:
hanako
kisadminnew1
401hk$
Guest
Huazhongdiguo110
همچنین مهاجمان این حملات در صورت نصب بودن ضدویروسهایی همچون Avira و Panda Security بر روی سرور، آنها را غیرفعال میکنند.
برای پاک نمودن ردپا، این مهاجمان با اجرای فایلهای Batch و اسکریپتهای VB سوابق رخنه را در محضرخانه، فایلها و پوشههای مربوطه بر روی سرور حذف میکنند.