Η κινεζική ομάδα hackers APT-27 στοχεύει τα δίκτυα μεγάλων επιχειρήσεων, εκμεταλλευόμενη τους MySQL servers.
Τα περισσότερα δίκτυα επιχειρήσεων χρησιμοποιούν cloud πλατφόρμες για την αποθήκευση των δεδομένων τους. Οι hackers, από την άλλη μεριά, χρησιμοποιούν επίσης υπηρεσίες cloud για να τρέχουν τα bots τους σε cloud servers.
Οι επιχειρήσεις, που στόχευσαν οι hackers, είχαν φροντίσει να διορθώσουν τα θέματα ασφαλείας στο λειτουργικό τους σύστημα, αλλά παρέμενε ευάλωτος ο server, που τρέχει το MySQL.
Οι έρευνες δείχνουν ότι υπάρχουν περίπου 4.9 εκατομμύρια MySQL servers, που τρέχουν σε δημόσια IP. Αν ένας κακόβουλος hacker αποκτήσει πρόσβαση σε ένα δίκτυο, χρησιμοποιώντας MySQL, αποκτά, αυτόματα, πλήρη πρόσβαση στο μολυσμένο μηχάνημα.
Μέχρι στιγμής, έχουν εντοπιστεί 15.000 επιθέσεις. Ένα μεγάλο ποσοστό (34%) των επιθέσεων επικεντρώνεται στη Γερμανία, αλλά έχουν γίνει επιθέσεις και σε πολλές άλλες χώρες. Μεταξύ αυτών, είναι οι Ηνωμένες Πολιτείες, η Γαλλία, η Κίνα, η Πολωνία και η Ρωσία.
Οι ερευνητές ανακάλυψαν ότι χρησιμοποιούνται διαφορετικές μέθοδοι για την κατάχρηση των MYSQL servers και κατ’ επέκταση, την παραβίαση των δικτύων. Μέσω αυτών των μεθόδων, οι hackers μπορούν να εγκαταστήσουν backdoor, ransomware και άλλα, στο μηχάνημα του θύματος.
Οι hackers εκμεταλλεύονται αδυναμίες, όπως προεπιλεγμένα credentials και πραγματοποιούν brute-force και SQL injection επιθέσεις.
Επίσης, χρησιμοποιούν WebShell και εκμεταλλεύονται ευπάθειες, που τους επιτρέπουν να παρακάμψουν τις διαδικασίες ελέγχου ταυτότητας και να πάρουν τον έλεγχο του server. Στη συνέχεια, μπορούν να επεξεργαστούν, να διαγράψουν ή και να κλέψουν τα δεδομένα.
Οι επιτιθέμενοι έχουν τη δυνατότητα να διανείμουν πολλά κακόβουλα λογισμικά (ιούς, ransomware, miner) εκμεταλλευόμενοι τον MySQL server.
Οι ερευνητές ανακάλυψαν, επίσης, ότι η ομάδα APT-27 είχε χρησιμοποιήσει το κακόβουλο λογισμικό NewCore RAT, για να επιτεθεί σε κυβερνητικές οντότητες και κέντρα δεδομένων.
Μετά την εγκατάσταση κακόβουλων αρχείων, οι hackers εισάγουν σημείωμα, με το οποίο ζητούν λύτρα. Ωστόσο, τα θύματα της επίθεσης δεν πρέπει να πληρώσουν τα λύτρα, γιατί σε αυτού του είδους τις επιθέσεις, οι hackers δεν επαναφέρουν τα επηρεασμένα συστήματα, ακόμα και μετά την πληρωμή των λύτρων.
