حمله‌ی هکرها به MySQL

حمله‌ی هکرها به MySQL
تاریخ انتشار : ۱۰ اسفند ۱۳۹۵

به تازگی گزارشی منتشر شده است که نشان می‌دهد صدها پایگاه داده مورد حمله‌ی باج افزارها قرار گرفته است.

به گزارش گرداب، بر اساس گزارش‌های منتشر شده صدها پایگاه داده‌ی مای‌اس.کیو.ال1 (MySQL) مورد حمله‌ی باج افزارها قرار گرفته، اطلاعات آن‌ها پاک و با درخواست باج 0.2 بیت‌کوین جایگزین شده است.
با توجه به گزارش منتشر شده از سوی اُفری زیو (Ofri Ziv)، از شرکت گاردیکر2 (Guardicore) به نظر می‌رسد حملات یاد شده، نسخه‌ای تکامل یافته از باج افزاری است که بخ پایگاه داده‌ی مانگو دی.بی3 (MongoDB) حمله کرده و در اوایل سال 2017 توسط ویکتور گِوِرز (Victor Gevers) شناسایی شد.
زیو توضیح داد حمله‌ی یاد شده در تاریخ 12 فوریه آغاز و 30 ساعت به طول انجامیده است و در این مدت صدها پایگاه داده تحت تأثیر قرار گرفته‌اند. همه‌ی پایگاه داده‌های مورد حمله واقع شده، به آدرس آی.پی (109.236.88.20) و آدرس «worldstream.nl» تعلق دارند. ورداستریم (worldstream) شرکتی هلندی است که خدمات میزبانی وب انجام می‌دهد.
زیو اشاره کرد حملات انجام شده از طریق یک سرور ایمیل صورت گرفت که به عنوان سرور «HTTPS» و «FTP» هم عمل می‌کرد.
وی اضافه کرد مهاجم کار خود را از طریق «حمله‌ی جستجوی فراگیر4» (brute-forcing) آغاز کرده و بعد از به دست آوردن رمز عبور برای ورود مای‌اس.کیو.ال، اقدام به واکشی پایگاه‌های داده و جداول آن می‌کرد. سپس یک جدول جدید با عنوان «WARNING» ایجاد می‌کند که آدرس ایمیل، آدرس بیت‌کوین و یک تقاضای پرداخت در آن وجود دارد.
در ادامه‌ی گزارش آمده است حمله به مای اس.کیو.ال به دو صورت انجام می‌شود. در حالت اول یک جدول مطابق توضیح بالا به پایگاه داده اضافه شده و در حالت دوم یک پایگاه داده‌ی جدید به نام «PLEASE_READ» ایجاد و جدول مذکور به آن الصاق می‌شود.
زیو گفت: «فرد مهاجم در بعضی موارد ارتباط پایگاه داده را مراکز داده قطع و آن را حذف5 (Delete) می‌کرد؛ اما در بعضی موارد دیگر از همان ابتدا عمل «6Dump» را انجام می‌داد.»
باج مشخص شده با عبارت PLEASE_READ ادعا می‌کند که از اطلاعات پایگاه داده پشتیبان تهیه و در پایگاه داده‌ی هکر ذخیره شده است. در نتیجه قربانیان مجبور می‌شوند اطلاعاتی از قبیل نشانی آی.پی یا نام پایگاه داده را از طریق ایمیل برای هکر ارسال کنند. از طرفی پیام « warning» از قربانی‌ها می‌خواهد به وبگاهی در دارک‌وب مراجعه کرده و قبل از بازیابی پایگاه داده، باج درخواست شده را پرداخت کنند.
محقق یاد شده توضیح داد وبگاه‌ها از دو نوع مختلف «بیت‌کوین وَلِت7» (Bitcoin Wallet) که بر پایه‌ی اطلاعت پرداخت عمومی مردم در بلاک‌چین8 (BlockChain) است، استفاده می‌کنند.
وی افزود : «ما به طور طبیعی نمی‌توانیم بگوییم که آیا حمله کننده می‌تواند، اعتماد قربانی را نسبت به انجام تراکنش‌ها جلب کند یا خیر. ما قربانی‌ها را تشویق می‌کنیم که قبل از پرداخت باج با بررسی صحت ادعای مجرم، از قابلیت بازیابی یا عدم بازیابی اطلاعات اطمینان حاصل کنند؛ زیرا با بررسی‌های انجام شده ما نتوانستیم هیچ نشانی از عملیات پشتیبانی گیری پیدا کنیم.»
تحلیلگران شرکت گاردیکر به شرکت‌ها توصیه کرده‌اند از توانایی مقابله‌ی مای‌اس.کیو.ال‌های در حال اجرا با حملات اطمینان حاصل کنند.
زیو ادامه داد: «بهتر است اطمینان حاصل کنید که در مرحله‌ی احراز هویت سرورها، از رمزهایی قدرتمند استفاده می‌شود. به حداقل رساندن خدمات اینترنتی، به خصوص برای افرادی که به اطلاعات حساس دسترسی دارند، می‌تواند تمرین مناسبی به حساب آید. نظارت بر قابلیت‌ها و خدمات در دسترس شما را قادر می‌سازد با سرعت بیشتری به نقض داده‌ها واکنش نشان دهید.»
کوین اِلِی (Kevin Eley)، معاون مدیر بخش فروش ای.اِم.ای.اِی (EMEA) در شرکت امنیتی ترپ‌اکس (TrapX)، گفت: «تهاجم انجام شده یک حمله‌ی وابسته به اینترنت است؛ بنابراین مای‌اس.کیو.ال‌های اینترنتی آسیب‌پذیر هستند. سیاست‌های رمزنگاری قوی، پشتیبان گیری مؤثر، بررسی دوره‌ای صحت داده‌های پایگاه داده یا این که لازم است سمت اینترنت قرار بگیرد یا نه، می‌تواند به حفظ آن‌ها در برابر حملات اینترنت کمک می‌کند. استقرار پایگاه داده‌ی یاد شده در یک منطقه‌ی غیرنظامی9 (DMZ) کمک خواهد کرد تا حملات در همان مراحل اولیه شناسایی شوند و اگر یک ویژگی از پایگاه داده در خطر بود به اپراتور هشدار بدهد.»
اِلِی ادامه داد: «با استفاده از روش‌های بالا می‌توان مشخص کرد که آیا داده‌ها قابل بازیابی هستند یا خیر. همچنین می‌توان منطقی بودن یا نبودن پرداخت باج به هکر را موردبررسی قرار داد. باید پیش از قبول درخواست مهاجم ارزیابی روشنی نسبت به مزایای بازیابی داده‌ها از طریق پرداخت باج یا هزینه‌ی برگرداندن آن‌ها از با استفاده از نسخه‌ی پشتیبان بررسی شود. همچنین باید با دیدگاهی متعادل و دقیق نسبت به هزینه‌های تهیه‌ی پشتیبان و ضررهای بالقوه‌ی مرتبط بررسی‌هایی انجام داد. در بعضی مواقع پرداخت باج توسط شرکت‌ها ایدئال نیست؛ اما آن‌ها احساس می‌کنند این تنها راه ممکن است.»
گاوین میلارد (Gavin Millard)، مدیر فنی امنیت شبکه‌ی ای.اِم.ای.اِی گفت: «مجرمان ابزارهای متصل به اینترنتی را که از بهداشت سایبری ضعیف بهره می‌برند مورد حمله قرار می‌دهد. جای تعجبی وجود ندارد که آن‌ها بعد از مانگو دی.بی روی مای‌اس.کیو.ال تمرکز کرده‌اند.»
میلارد گفت: «امن کردن لامپ10 (LAMP چندان سخت نیست؛ اما انجام این کار به مراحلی نیاز دارد که بسیاری از افراد از آن صرف‌نظر می‌کنند. مجرمان سایبری این سیستم‌ها را به سادگی مورد هدف قرار می‌دهند. آن‌ها اسکریپت‌هایی می‌نویسند که شاید ساعت‌ها وقت طلب کند؛ اما در عوض، زمانی که وارد میدان شوند و محتویات ابزارهای عمومی دارای پیکربندی ضعیف را رمزنگاری کنند، سود بسیار بالایی نصیب خود می‌کنند.»
دیودید کنرلی (David Kennerley)، مدیر بخش تحقیقات تهدیدات شرکت وبروت11 (Webroot)، اشاره کرد که برای مقابله با خطرها، بررسی دوره‌ای و منظم سامانه‌ها باید به یک استاندارد تبدیل شود.
کنرلی گفت: «شرکت‌ها ابتدا باید چیزی را که به عنوان نیاز دارند درک کنند در نتیجه بخش‌هایی که نیاز به محافظت دارند شناسایی شده و شروع به بررسی می‌شوند تا تنظیمات پیش‌فرض بهبود پیدا کنند. سطح احراز هویت برای هر محصولی باید مورد بررسی قرار بگیرد؛ زیرا گزینه‌های پیش‌فرض همیشه بهترین نیستند. در صورت امکان باید دسترسی‌ها محدود شده و برای انجام کارهای خاص از وی.پی.ان (VPN) و پروتکل‌های تونل12 (tunneling protocols) استفاده شود.»
____________________________________________
1- مای‌اس‌کیوال یک سامانه مدیریت پایگاه داده‌ها متن‌باز است که توسط شرکت اوراکل توسعه، توزیع، و پشتیبانی می‌شود.
2- گاردیکر به ارائه‌ی راه‌کارهای امنیتی شبکه برای نرم‌افزارهای تعریف شده در مراکز داده می‌پردازد.
3- مانگودی‌بی یک پایگاه داده‌های سند-گرای متن‌باز، کارا، مقیاس‌پذیر، بدون نیاز به طرح‌بندی اولیه نوشته شده در زبان برنامه‌نویسی سی++ است.
4- در رمزنگاری، حمله جستجوی فراگیر، حمله‌ای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی می‌گردد.
5- دراپ کردن یک پایگاه داده باعث حذف جدول‌ها از پایگاه داده شده و تمام اطلاعات آن را از بین می‌برد. فرمان دلیت نیز چنین کاری را انجام می‌دهد؛ اما دراپ یک فرمان از نوع «DDL» بوده و دلیت از نوع «DML» است. این موضوع باعث می‌شود بتوان دستور دلیت را لغو و اطلاعات را بازیابی کرد، در صورتی که این کار برای فرمان دراپ امکان‌پذیر نیست. در این متن عبارت دلیت آورده شده است که نشان می‌دهد داده‌های به سرقت رفته قابل بازیابی هستند.
6- دستور دامپ امکان پشتیبان گیری را فراهم می‌آورد.
7- ولت یا کیف پول، عملکردی مشابه حساب‌های بانکی را برای بین کوین ایفا می‌کند. این ویژگی به کاربران اجازه می‌دهد بین کوین‌های خود را ذخیره کرده و به تبادل آن‌ها بپردازند. دو نوع اصلی کیف متفاوت برای بیت‌کوین وجود دارد که روی رایانه یا تلفن همراه کاربران نصب می‌شود.
8- فناوری بلاک‌چین با رمزنگاری پول اینترنت (بین‌کوین) شناخته می‌شود؛ اما از آن برای رمزنگاری تراکنش‌های مالی، حفظ اطلاعات حساس، جلوگیری از کپی‌رایت و بسیاری زمینه‌های دیگر استفاده می‌شود.
9- در امنیت رایانه یک منطقه غیرنظامی یک زیر شبکه‌ی منطقی یا فیزیکی است که خدمات خارجی یک سازمان را در معرض یک شبکه‌ی نامطمئن بزرگ‌تر که معمولاً اینترنت است قرار می‌دهد. هدف از یک منطقه غیرنظامی، اضافه کردن یک‌لایه امنیتی بیشتر به شبکه محلی یک سازمان است؛ یک مهاجم خارجی به جای دیگر قسمت‌های شبکه، تنها به تجهیزاتی که در منطقه یاد شده هستند دسترسی دارد.
10- سرواژه لامپ بسته نرم‌افزارهایی برای نرم‌افزارهای آزاد و متن‌باز است که برای راه‌اندازی وب‌سایت‌های پویا استفاده می‌شوند. این بسته شامل لینوکس، آپاچی، مای. اس.کیو.ال و پی.اچ.پی می‌شود.
11- وبروت یک شرکت خصوصی آمریکایی است که به مصرف‌کنندگان و کسب‌وکارها، امنیت اینترنتی ارائه می‌دهد.
12- پروتکل تونل‌زنی، در شبکه‌های رایانه‌ای به کاربر اجازه می‌دهد تا به سرویس‌هایی که در شبکه‌اش ارائه نمی‌شوند، دسترسی پیدا کند. یکی از استفاده‌های مهم پروتکل‌های تونل‌زنی اجرای یک پروتکل خارجی بر روی شبکه‌ای است که آن پروتکل را پشتیبانی نمی‌کن.