Неизвестные злоумышленники взломали ряд MySQL-серверов по всему миру, объединили их в ботнет и используют для осуществления DDoS-атак, сообщают исследователи ИБ-компании Symantec. На данный момент самым крупным атакам подверглись хостинг-провайдер в США и IP-адрес, зарегистрированный в Китае. Имена жертв не разглашаются.
По данным экспертов, инфицированные серверы расположены в 10 странах мира, но большая их часть приходится на Индию, Китай, Бразилию и Нидерланды. Количество зараженных серверов не уточняется.
“Мы полагаем, что злоумышленники скомпрометировали MySQL-серверы из-за их более высокой пропускной способности. С помощью такого масштабного ботнета можно предпринимать атаки на более высокопрофильные цели”, – отметил аналитик Symantec Гэвин Горман (Gavin O. Gorman).
В ходе атак злоумышленники используют вариант трояна Chickdos, обнаруженного в декабре 2013 г. После инфицирования преступники внедряют SQL-код, который, в свою очередь, устанавливает вредоносную UDF-функцию на целевом сервере. После загрузки в MySQL она исполняется. В данном случае UDF используется в качестве загрузчика, а также для модификации строк регистра с целью активации терминальных сервисов (TerminalServices). Таким образом хакеры получают возможность удаленно контролировать скомпрометированный сервер и создавать новые учетные записи.
После этого с двух вредоносных web-сайтов загружаются две разновидности Chickdos. Если два года назад в ходе подобной кампании злоумышленники использовали автоматизированные инструменты или червя для компрометации MySQL-сервера и установки UDF, то в этом случае экспертам не удалось идентифицировать вектор заражения. Для того чтобы обезопасить себя от атак подобного рода, специалисты Symantec рекомендуют не злоупотреблять правами администратора, регулярно обновлять приложения, для работы с которыми нужны права администратора, а также проверять конфигурацию сервисов, требующих удаленного доступа к серверу. (Symantec/NovostIT)
