حمله هکرها به MySQL
بر اساس گزارشهای منتشر شده صدها پایگاه دادهی مایاس.کیو.ال۱ (MySQL) مورد حملهی باج افزارها قرار گرفته، اطلاعات آنها پاک و با درخواست باج ۰.۲ بیتکوین جایگزین شده است.
بر اساس گزارشهای منتشر شده صدها پایگاه دادهی مایاس.کیو.ال 1 (MySQL) مورد حملهی باج افزارها قرار گرفته، اطلاعات آنها پاک و با درخواست باج 0.2 بیتکوین جایگزین شده است.
زیو توضیح داد حملهی یاد شده در تاریخ ۱۲ فوریه آغاز و ۳۰ ساعت به طول انجامیده است و در این مدت صدها پایگاه داده تحت تأثیر قرار گرفتهاند. همهی پایگاه دادههای مورد حمله واقع شده، به آدرس آی.پی (۱۰۹.۲۳۶.۸۸.۲۰) و آدرس «worldstream.nl» تعلق دارند. ورداستریم (worldstream) شرکتی هلندی است که خدمات میزبانی وب انجام میدهد.
زیو اشاره کرد حملات انجام شده از طریق یک سرور ایمیل صورت گرفت که به عنوان سرور «HTTPS» و «FTP» هم عمل میکرد.
وی اضافه کرد مهاجم کار خود را از طریق «حملهی جستجوی فراگیر ۴ » (brute-forcing) آغاز کرده و بعد از به دست آوردن رمز عبور برای ورود مایاس.کیو.ال، اقدام به واکشی پایگاههای داده و جداول آن میکرد. سپس یک جدول جدید با عنوان «WARNING» ایجاد میکند که آدرس ایمیل، آدرس بیتکوین و یک تقاضای پرداخت در آن وجود دارد.
در ادامهی گزارش آمده است حمله به مای اس.کیو.ال به دو صورت انجام میشود. در حالت اول یک جدول مطابق توضیح بالا به پایگاه داده اضافه شده و در حالت دوم یک پایگاه دادهی جدید به نام «PLEASE_READ» ایجاد و جدول مذکور به آن الصاق میشود.
زیو گفت: «فرد مهاجم در بعضی موارد ارتباط پایگاه داده را مراکز داده قطع و آن را حذف ۵ (Delete) میکرد؛ اما در بعضی موارد دیگر از همان ابتدا عمل « ۶ Dump» را انجام میداد.»
باج مشخص شده با عبارت PLEASE_READ ادعا میکند که از اطلاعات پایگاه داده پشتیبان تهیه و در پایگاه دادهی هکر ذخیره شده است. در نتیجه قربانیان مجبور میشوند اطلاعاتی از قبیل نشانی آی.پی یا نام پایگاه داده را از طریق ایمیل برای هکر ارسال کنند. از طرفی پیام «warning» از قربانیها میخواهد به وبگاهی در دارکوب مراجعه کرده و قبل از بازیابی پایگاه داده، باج درخواست شده را پرداخت کنند.
محقق یاد شده توضیح داد وبگاهها از دو نوع مختلف «بیتکوین وَلِت ۷ » (Bitcoin Wallet) که بر پایهی اطلاعت پرداخت عمومی مردم در بلاکچین ۸ (BlockChain) است، استفاده میکنند.
وی افزود : «ما به طور طبیعی نمیتوانیم بگوییم که آیا حمله کننده میتواند، اعتماد قربانی را نسبت به انجام تراکنشها جلب کند یا خیر. ما قربانیها را تشویق میکنیم که قبل از پرداخت باج با بررسی صحت ادعای مجرم، از قابلیت بازیابی یا عدم بازیابی اطلاعات اطمینان حاصل کنند؛ زیرا با بررسیهای انجام شده ما نتوانستیم هیچ نشانی از عملیات پشتیبانی گیری پیدا کنیم.»
تحلیلگران شرکت گاردیکر به شرکتها توصیه کردهاند از توانایی مقابلهی مایاس.کیو.الهای در حال اجرا با حملات اطمینان حاصل کنند.
زیو ادامه داد: «بهتر است اطمینان حاصل کنید که در مرحلهی احراز هویت سرورها، از رمزهایی قدرتمند استفاده میشود. به حداقل رساندن خدمات اینترنتی، به خصوص برای افرادی که به اطلاعات حساس دسترسی دارند، میتواند تمرین مناسبی به حساب آید. نظارت بر قابلیتها و خدمات در دسترس شما را قادر میسازد با سرعت بیشتری به نقض دادهها واکنش نشان دهید.»
کوین اِلِی (Kevin Eley)، معاون مدیر بخش فروش ای.اِم.ای.اِی (EMEA) در شرکت امنیتی ترپاکس (TrapX)، گفت: «تهاجم انجام شده یک حملهی وابسته به اینترنت است؛ بنابراین مایاس.کیو.الهای اینترنتی آسیبپذیر هستند. سیاستهای رمزنگاری قوی، پشتیبان گیری مؤثر، بررسی دورهای صحت دادههای پایگاه داده یا این که لازم است سمت اینترنت قرار بگیرد یا نه، میتواند به حفظ آنها در برابر حملات اینترنت کمک میکند. استقرار پایگاه دادهی یاد شده در یک منطقهی غیرنظامی ۹ (DMZ) کمک خواهد کرد تا حملات در همان مراحل اولیه شناسایی شوند و اگر یک ویژگی از پایگاه داده در خطر بود به اپراتور هشدار بدهد.»
اِلِی ادامه داد: «با استفاده از روشهای بالا میتوان مشخص کرد که آیا دادهها قابل بازیابی هستند یا خیر. همچنین میتوان منطقی بودن یا نبودن پرداخت باج به هکر را موردبررسی قرار داد. باید پیش از قبول درخواست مهاجم ارزیابی روشنی نسبت به مزایای بازیابی دادهها از طریق پرداخت باج یا هزینهی برگرداندن آنها از با استفاده از نسخهی پشتیبان بررسی شود. همچنین باید با دیدگاهی متعادل و دقیق نسبت به هزینههای تهیهی پشتیبان و ضررهای بالقوهی مرتبط بررسیهایی انجام داد. در بعضی مواقع پرداخت باج توسط شرکتها ایدئال نیست؛ اما آنها احساس میکنند این تنها راه ممکن است.»
گاوین میلارد (Gavin Millard)، مدیر فنی امنیت شبکهی ای.اِم.ای.اِی گفت: «مجرمان ابزارهای متصل به اینترنتی را که از بهداشت سایبری ضعیف بهره میبرند مورد حمله قرار میدهد. جای تعجبی وجود ندارد که آنها بعد از مانگو دی.بی روی مایاس.کیو.ال تمرکز کردهاند.»
میلارد گفت: «امن کردن لامپ 10 (LAMP چندان سخت نیست؛ اما انجام این کار به مراحلی نیاز دارد که بسیاری از افراد از آن صرفنظر میکنند. مجرمان سایبری این سیستمها را به سادگی مورد هدف قرار میدهند. آنها اسکریپتهایی مینویسند که شاید ساعتها وقت طلب کند؛ اما در عوض، زمانی که وارد میدان شوند و محتویات ابزارهای عمومی دارای پیکربندی ضعیف را رمزنگاری کنند، سود بسیار بالایی نصیب خود میکنند.»
دیودید کنرلی (David Kennerley)، مدیر بخش تحقیقات تهدیدات شرکت وبروت ۱۱ (Webroot)، اشاره کرد که برای مقابله با خطرها، بررسی دورهای و منظم سامانهها باید به یک استاندارد تبدیل شود.
کنرلی گفت: «شرکتها ابتدا باید چیزی را که به عنوان نیاز دارند درک کنند در نتیجه بخشهایی که نیاز به محافظت دارند شناسایی شده و شروع به بررسی میشوند تا تنظیمات پیشفرض بهبود پیدا کنند. سطح احراز هویت برای هر محصولی باید مورد بررسی قرار بگیرد؛ زیرا گزینههای پیشفرض همیشه بهترین نیستند. در صورت امکان باید دسترسیها محدود شده و برای انجام کارهای خاص از وی.پی.ان (VPN) و پروتکلهای تونل 12 (tunneling protocols) استفاده شود.»
____________________________________________
1- مایاسکیوال یک سامانه مدیریت پایگاه دادهها متنباز است که توسط شرکت اوراکل توسعه، توزیع، و پشتیبانی میشود.
۲- گاردیکر به ارائهی راهکارهای امنیتی شبکه برای نرمافزارهای تعریف شده در مراکز داده میپردازد.
3- مانگودیبی یک پایگاه دادههای سند-گرای متنباز، کارا، مقیاسپذیر، بدون نیاز به طرحبندی اولیه نوشته شده در زبان برنامهنویسی سی++ است.
۴- در رمزنگاری، حمله جستجوی فراگیر، حملهای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی میگردد.
5- دراپ کردن یک پایگاه داده باعث حذف جدولها از پایگاه داده شده و تمام اطلاعات آن را از بین میبرد. فرمان دلیت نیز چنین کاری را انجام میدهد؛ اما دراپ یک فرمان از نوع «DDL» بوده و دلیت از نوع «DML» است. این موضوع باعث میشود بتوان دستور دلیت را لغو و اطلاعات را بازیابی کرد، در صورتی که این کار برای فرمان دراپ امکانپذیر نیست. در این متن عبارت دلیت آورده شده است که نشان میدهد دادههای به سرقت رفته قابل بازیابی هستند.
۶- دستور دامپ امکان پشتیبان گیری را فراهم میآورد.
7- ولت یا کیف پول، عملکردی مشابه حسابهای بانکی را برای بین کوین ایفا میکند. این ویژگی به کاربران اجازه میدهد بین کوینهای خود را ذخیره کرده و به تبادل آنها بپردازند. دو نوع اصلی کیف متفاوت برای بیتکوین وجود دارد که روی رایانه یا تلفن همراه کاربران نصب میشود.
۸- فناوری بلاکچین با رمزنگاری پول اینترنت (بینکوین) شناخته میشود؛ اما از آن برای رمزنگاری تراکنشهای مالی، حفظ اطلاعات حساس، جلوگیری از کپیرایت و بسیاری زمینههای دیگر استفاده میشود.
9- در امنیت رایانه یک منطقه غیرنظامی یک زیر شبکهی منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در معرض یک شبکهی نامطمئن بزرگتر که معمولاً اینترنت است قرار میدهد. هدف از یک منطقه غیرنظامی، اضافه کردن یکلایه امنیتی بیشتر به شبکه محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمتهای شبکه، تنها به تجهیزاتی که در منطقه یاد شده هستند دسترسی دارد.
۱۰- سرواژه لامپ بسته نرمافزارهایی برای نرمافزارهای آزاد و متنباز است که برای راهاندازی وبسایتهای پویا استفاده میشوند. این بسته شامل لینوکس، آپاچی، مای. اس.کیو.ال و پی.اچ.پی میشود.
11- وبروت یک شرکت خصوصی آمریکایی است که به مصرفکنندگان و کسبوکارها، امنیت اینترنتی ارائه میدهد.
۱۲- پروتکل تونلزنی، در شبکههای رایانهای به کاربر اجازه میدهد تا به سرویسهایی که در شبکهاش ارائه نمیشوند، دسترسی پیدا کند. یکی از استفادههای مهم پروتکلهای تونلزنی اجرای یک پروتکل خارجی بر روی شبکهای است که آن پروتکل را پشتیبانی نمیکند.
ارسال نظر