پایگاه دادههای MySQL هدف جدید مهاجمان برای باجخواهی - آزمایشگاه پردازش چند رسانه اي mpl
پایگاه دادههای MySQL هدف جدید مهاجمان برای باجخواهی
محققان امنیتی هشدار دادند هزاران پایگاه دادهی MySQL هدف حملات جدید مهاجمان برای باجخواهی قرار گرفتهاند. این حملات دنبالهی جرائمی است که چند ماه قبل بر روی پایگاه دادهی MongoDB انجام شده بود.
در مرحلهای از حمله، مهاجمان بر روی کارگزارهای MySQL حملات جستجوی فراگیر انجام میدهند، تعداد جداول و پایگاه دادهها را شمارش کرده و اطلاعات آن را بهسرقت میبرند. در ادامه نیز جدولی در پایگاه داده ساخته و به قربانی دستورات لازم برای پرداخت ۰.۲ بیتکوین را ارائه میدهند. با وجود اینکه مهاجمان ادعا میکنند پس از پرداخت باج قرار است اطلاعات پایگاه داده را برگردانند ولی این موضوع صحت ندارد چرا که مشاهده شده تعدادی از این پایگاه دادهها بدون هیچگونه سرقتی، بهطور کامل حذف شدهاند.
اوایل ماه ژانویه نیز چنین حملاتی بر روی پایگاه دادههای MongoDB مشاهد شده بود. مهاجمان پایگاه داده را به سرقت برده و برای بازگرداندن آن ۰.۲ بیتکوین باج درخواست میکردند. نفوذگران توانستند از این طریق اطلاعات ۳۰ هزار پایگاه دادهی MongoDB را به سرقت ببرند.
اینک پایگاه دادههای MySQL هدف حمله قرار گرفتهاند. مهاجمان از ابزارهای برخط برای پیدا کردن سامانههایی که دارای گذرواژههای ضعیف در سطح اینترنت هستند استفاده میکنند. بر روی آنها حملات جستجوی فراگیر انجام داده و به این پایگاه دادهها دسترسی پیدا میکنند و جداول آن را با یک جدول که پیغام باجخواهی در آن وجود دارد، جایگزین میکنند. در برخی از نمونهها حتی مشاهده شده نفوذگران بدون رونویسی از پایگاه داده، در همان مرحلهی اول آن را حذف کردهاند. بهعبارت دیگر قربانی بههیچ روشی نمیتواند پایگاه دادهی خود را بازیابی کند.
براساس گزارش کارشناسان امنیتی، از نیمهشب ۲۴ بهمن و در عرض ۲۴ ساعت، صدها حمله انجام شده است. ردیابی که بر روی حملات انجام شده، نشان میدهد همهی آنها از یک آدرس IP مشخص (۱۰۹.۲۳۶.۸۸.۲۰) انجام شده و بر روی یک سرویس در هلند به آدرس worldstream.nl میزبانی میشوند. این شرکت میزبانی چند روز پس از وقوع این حملات، از این مسئله مطلع شد. محققان امنیتی معتقدند این حملات از روی یک کارگزارِ آلودهی رایانامه که بهعنوان کارگزار HTTP و FTP نیز عمل میکند، انجام میشود.
به گزارش کارشناسان امنیتی، این حملات در سراسر جهان انجام شده و پایگاه دادههای خاصی را هدف قرار نداده است و با قطعیت نمیتوان گفت که مهاجمان قدیمیِ MongoDB حملات خود را به کارگزارهای MySQL منتقل کردهاند ولی نکتهای که وجود دارد این است که مسلماً حملهی جدید از حملات علیه MongoDB الهام گرفته شده است.
آدرس بیتکوینی که در پیغام باجخواهی وجود دارد میزان فعالیت این مهاجمان را نشان میدهد. محققان معتقدند پرداخت زیادی توسط قربانیان صورت نگرفته و تراکنشهای مربوط به پرداخت ممکن است توسط خودِ مهاجمان انجام شده باشد تا قربانیان را به پرداخت ترغیب و تشویق کنند. کارشناسان توصیه میکنند پیش از پرداخت باج حتماً مطمئن شوید که مهاجمان رونویسی از پایگاه دادهی شما دارند و پس از آن باج را پرداخت کنید.
تمامی پایگاه دادههای MySQL که در سطح اینترنت قابل دسترسی هستند، در معرض خطر قرار دارند و به مدیران سامانهها توصیه شده حتماً پایگاه داده را با گذرواژههای قوی و استفاده از احراز هویتِ اجباری ایمن سازند. علاوه بر این ضروری است سرویسهایی که دارای اطلاعات حساس هستند کمتر در سطح اینترنت قرار بگیرند.
محققان در ادامه توضیح دادند: «ضروری است که بهطور مداوم ماشینها و سرویسهای خود را در سطح اینترنت کنترل کنید تا اگر نقض دادهای رخ داده باشد، هرچه سریعتر متوجه شوید. بهطور دورهای از پایگاه دادهی خود پروندههای پشتیبان تهیه کنید تا در صورت بروز چنین مشکلاتی، مجبور نشوید با مهاجمان تماس گرفته و باج پرداخت کنید.»