Phát hiện hacker Trung Quốc đang quét tìm các máy chủ MySQL có lỗ hổng để cài mã độc GandCrab

2388
Phát hiện hacker Trung Quốc đang quét tìm các máy chủ MySQL có lỗ hổng để cài mã độc GandCrab
Có ít nhất một nhóm hacker Trung Quốc đang quét tìm lỗ hổng trong các máy chủ Windows chạy phần mềm cơ sở dữ liệu MySQL để cài mã độc tống tiền GandCrab.

(ảnh ZDNet)

Các cuộc tấn công dạng này của hacker thường có đặc điểm chung là các công ty an ninh mạng sẽ không phát hiện ra bất kỳ mối đe dọa nào cho đến khi mã độc chính thức được cài vào máy chủ.

  Thanh niên 19 tuổi này là hacker đầu tiên thành triệu phú đô la nhờ săn tiền thưởng từ các lỗi bảo mật

Andrew Brandt, chuyên gia bảo mật làm việc tại công ty an ninh mạng Sophos là người đã phát hiện ra động thái này của hacker Trung Quốc. Ông đã phát hiện thấy những truy vấn bất thường vào hệ thống honeypot (hệ thống máy chủ giả để thu hút và đánh lừa hacker xâm nhập, nhằm bảo vệ, ngăn không cho chúng tiếp xúc với hệ thống thật). Trong một email gửi đến trang công nghệ ZDNet, ông Brandt nói rằng đây là một “sự phát hiện tình cờ”.

Hôm qua (24/5), chuyên gia bảo mật này đã đăng tải phát hiện của mình trên blog của công ty Sophos, nêu chi tiết về hoạt động quét tìm của hacker cũng như mã độc mà chúng tải xuống máy chủ bị nhiễm.

Kiểu tấn công hiếm gặp nhưng nguy hiểm

Ông Brandt đã mô tải quá trình tấn công của hacker như sau: Đầu tiên chúng quét tìm các cơ sở dữ liệu MySQL có lỗ hổng, cho phép thực thi các lệnh SQL. Sau đó, chúng kiểm tra xem cơ sở dữ liệu ấy có nằm trên máy chủ Windows không. Từ đó, chúng thực hiện các lệnh để tải tệp chứa mã độc GandCrab xuống máy đó.

Do hầu hết các quản trị viên đều bảo vệ máy chủ MySQL bằng cách đặt mật khẩu, cho nên mục đích của hacker lần này là quét tìm các cơ sở dữ liệu bị đặt cấu hình sai, hoặc không có mật khẩu.

Ông Brandt đã theo dõi quá trình quét tìm và phát tán mã độc của hacker trên một máy chủ honeypot. Máy chủ này cài đặt một phần mềm gọi là HFS có nhiệm vụ ghi lại quá trình tải xuống mã độc của hacker.

“Máy chủ đã ghi nhận được hơn 500 lần tải xuống một file có tên là 3306-1.exe. Ngoài ra, hacker còn tải xuống các file có tên là 3306-2.exe, 3306-3.exe, và 3306-4.exe, có code tương tự như file đầu tiên”, ông Brandt cho biết.

  Singapore thưởng tiền cho hacker tìm ra lỗ hổng trên 5 website và hệ thống chính phủ

Cũng theo ghi nhận của vị chuyên gia bảo mật này thì trong vòng 5 ngày qua đã có hơn 800 lượt tải xuống file 3306-1.exe. Còn tính trong vòng 1 tuần trước đó thì có đến 2300 lượt tải xuống các file khác nhau.

“Đây không phải là một cuộc tấn công diện rộng, nhưng nó cho thấy một nguy cơ cao đối với máy chủ cơ sở dữ liệu MySQL bỏ ngỏ cổng 3306, khiến cho hacker có thể tiếp cận và tải mã độc xuống máy”, ông Brandt nhận định.

Vị chuyên gia bảo mật của Sophos nói rằng kiểu tấn công bằng cách cài mã độc tống tiền (như GandCrab) vào máy chủ cơ sở dữ liệu là rất hiếm gặp. Các nhóm hacker thường tìm cách tấn công các máy chủ cơ sở dữ liệu để xâm nhập vào các công ty nhằm đánh cắp dữ liệu có giá trị hoặc tài sản trí tuệ, hoặc dùng máy bị nhiễm để đào tiền ảo, chứ chúng ít khi cài mã độc tống tiền giống như GandCrab.

TechTalk via viettimes.vn

  Hacker ‘bắt cóc’ một thành phố của Mỹ đòi chuộc bằng Bitcoin
  Forum tập trung những hacker mạng xã hội khét tiếng đã bị hack bởi những hacker khác
CHIA SẺ