Неизвестные злоумышленники проникли в ряд MySQL-серверов по всему миру, объединили их в ботнет и используют для проведения DDoS-атак.
На данный момент известно об атаках на хостингового провайдера из США и компанию с IP-адресом, зарегистрированным в Китае. Имена жертв не разглашаются.
Сервера, в которые хакеры внедрили SQL-инжект, расположены более чем в десяти странах мира, большей частью в Индии, Китае, Бразилии и Нидерландах. О количестве зараженных серверов специалисты умолчали. Очевидно, преступники выбрали их с целью обеспечить максимальную мощность атаки, так как для данных серверов характерна высокая пропускная способность, — обычно для того, чтобы добиться подобной мощности при организации DDoS-атаки, киберпреступникам приходится компрометировать намного больше менее мощных машин потребительского класса.
«MySQL — вторая по популярности система управления базами данных, — признали исследователи из Symantec. — С помощью такого масштабного ботнета можно предпринимать атаки на высокопрофильные цели». Атакующие использовали вариацию троянца Chickdos, который был обнаружен еще в 2013 году. «Выпустив» зловреда на сервер, злоумышленники внедряют SQL-инжект, который, в свою очередь, устанавливает вредоносную UDF-функцию на целевом сервере, после загрузки в MySQL она исполняется.
В этом случае UDF используется в качестве загрузчика, а также модифицирует строки регистра для активации терминальных сервисов (TerminalServices), чтобы обеспечить хакерам возможность удаленного контроля скомпрометированного сервера и создания новой учетной записи. Затем с двух вредоносных веб-сайтов загружаются две разновидности Chikdos. И если два года назад в ходе подобной кампании атакующие использовали червя для компрометации MySQL-серверов и установки UDF, в этот раз вектор атаки неизвестен.
ИТ-администраторам рекомендуется как можно быстрее проверить свои системы и усилить безопасность — исследователи уже предоставили хеши загрузчика и троянца для анализа. Кроме того, в качестве профилактики не стоит пренебрегать базовыми правилами безопасности — например, не злоупотреблять правами администратора и регулярно обновлять приложения, для работы которых нужны права администратора, также не допускать ошибок в коде, чтобы снизить возможность атак на основе SQL-инжектов, и проверять конфигурацию сервисов, требующих удаленного доступа к серверу.
Axarhöfði 14,
110 Reykjavik, Iceland