นักวิจัยด้านความปลอดภัยพบการโจมตีจากกลุ่มแฮ็คเกอร์ชาวจีนที่มีขอบเขตการโจมตีทั่วโลก โดยมีเป้าหมายหลักคือการโจมตีเซิร์ฟเวอร์ฐานข้อมูลเพื่อทำ mining cryptocurrencies, ล้วงข้อมูลสำคัญ และการทำ DDoS botnet
นักวิจัยจาก GuardiCore Labs ได้วิเคราะห์การโจมตีกว่าพันครั้งในรอบเดือนที่ผ่านมา โดยมีการพบแคมเปญการโจมตีจากกลุ่มแฮกเกอร์กลุ่มนี้ทั้งหมด 3 รูปแบบ คือ Hex, Hanako, และ Taylor โดยมีเป้าหมายการโจมตีอยู่ที่เซิร์ฟเวอร์ของ MSSQL และ MySQL ทั้งระบบปฏิบัตการ Windows และ Linux มีรูปแบบการโจมตีคือ
Hex จะทำหน้าที่ลงตัว cryptocurrency miners และ remote access trojans (RATs) บนเครื่อง
Taylor จะลงตัว keylogger และ backdoor
Hanako จะใช้เครื่องของเหยื่อสร้าง DDoS botnet
เครื่องที่ถูกโจมตีส่วนใหญ่อยู่ในประเทศจีน แฮ็คเกอร์จะทำการ brute force เพื่อเข้ามายังเซิร์ฟเวอร์ และทำการสั่งรัน SQL commands ที่เขียนเตรียมไว้เพื่อได้สิทธิ์เข้าใช้งานแบบเต็มตัว และเพื่อหลบหลีกการบันทึกของ audit logs สิ่งที่น่าสนใจอีกอย่างคือการที่แฮ็คเกอร์ใช้ระบบเคือข่ายของเหยื่อทำให้โครงสร้างการโจมตีของตัวเองเป็นแบบแยกส่วน และทำให้การขัดขวางไม่ให้ถูกหยุดการโจมตี
เพื่อเข้าถึงฐานข้อมูลด้วยสิทธิ์แบบเต็มตัว ทั้งสามตัวจะสร้าง backdoor users ไส้ในฐานข้อมูล และเปิดพอร์ตสำหรับ Remote Desktop ทำให้สามารถโหลดและติดตั้งการโจมตีในขั้นต่อไป สุดท้ายเพื่อปกปิดร่องรอยแฮ็คเกอร์จะลบทุกๆ ไฟล์ที่ระบุถึงการเข้าถึงต่างๆ
ผู้ดูแลระบบควรตรวจสอบการเข้าถึงฐานข้อมูล หรือระบบต่างๆ ว่าถูกต้องตามสิทธิ์ที่ได้รับหรือไม่ เพื่อป้องกันการแฮ็คเข้าระบบ นักวิจัยแนะนำให้ผู้ดูแลระบบทำตามคำแนะนำเรื่องการปรับต่างๆ จาก MySQL และ Microsoft มากกว่าการที่จะไปสนใจเรื่องการตั้งรหัสสำหรับการเข้าฐานข้อมูล
ที่มา: thehackernews
You must be logged in to post a comment.