Un attaccante cinese ( ma più probabilmente un gruppo) ha bersagliato i database MSSQL e MySQL su sistemi Windows e Linux per tutto l'anno, distribuendo tre diversi malware, uno per server, secondo diverse finalità.
Il gruppo (o il singolo attaccante, non è un dato noto) ha iniziato la propria attività all'inizio dell'anno e detiene una infrastruttura "tentacolare" apposita per scansionare host vulnerabili, lanciare attacchi e gestire i malware. Questa vasta infrastruttura e l'uso di malware diversi hanno aiutato il gruppo a rimanere nascosto per tutto questo tempo: i vari incidenti causati dai loro attacchi infatti sono rimasti non collegati tra loro per la maggior parte dell'anno.
I tre (nuovi) malware
La prima ondata di attacchi ha attaccato server Windows che eseguono database MSSQL, sui quali gli attaccanti "distribuivano" un malware chiamato Hex che funziona come un RAT (Remote Acess Trojan) e come un miner di criptovaluta.
La seconda ondata ha colpito server Windows che eseguono database MSSQL, ma in questo caso distribuivano un malware chiamato Taylor, che funziona come un keylogger e backdoor.
La terza ondata invece attacca databsae MySql e MSSQL sia su server Linux che su server Windows. In questo caso gli attaccanti installano un nuovo malware chiamato Hanako, un trojan usato per lanciare attacchi DDoS.
Gli attaccanti sono stati ben attenti a restare nascosti
Gli attaccanti "hanno fatto irruzione" in server vulnerabili, configurando ogni server infettato precedentemente per eseguire la scansione di un certo numero di indirizzi IP e trovare altri database con credenziali di accesso deboli. Hanno però prestato molta attenzione a limitare le azioni di scansione a un numero ridotto di IP: ogni host infetto scansisce così un piccolo numero di altri server e ciò garantisce che l'infrastruttura centrale di comando e controllo non sia troppo esposta.
Inoltre il gruppo passa da un malware all'altro, intrecciando le 3 campagne e generando circa 300 codici binari specifici per attacco. Infine la copertura è garantita dalla rotazione di domini e server C&C: una tecnica che non si vede regolarmente, eccezion fatta per attacchi a livello di Stato.
GuardiCore ha fatto sapere anche che gli attccanti hanno scansionato gli intervalli IP pubblici di Azure e AWS, pubblicamente noti. Hanno cercato cioè server aziendali in cloud con credenziali deboli contenenti informazioni sensibili.
Le vittimeIl fatto che gli attaccanti siano stati attenti a non essere scoperti, non ha impedito loro di infettare centinaia di migliaia di server. Si sono contati 80.000 server colpiti dal solo Taylor nel Marzo di quest'anno.
Gli attaccanti
Ampie prove suggeriscono che gli attaccanti avrebbero sede in Cina. "Abbiamo trovato ricorrentemente commenti in cinese nel codice, la maggior parte delle vittime si trova in Cina, il Trojan Rat cerca di spacciarsi per un celebre programma cinese e i file di configurazione elencano gli indirizzi email dei provider cinesi più noti" affermano da
GuardiCore.
Come individuare eventuali infezioni?
Per il momento chi possiede server MSSQL e MySQL deve assicurarsi di usare password molto solide per gli account sui datavase, usare firewall in grado di impedire attacchi di brute-force e verificare nei sistemi la presenza dei seguenti account amministratore nei database (sono account creati dagli attaccanti sui sistemi compromessi per creare una backdoor).
hanako
kisadminnew1
401hk$
guest
Nessun commento:
Posta un commento