Các cuộc tấn công dạng này của hacker thường có đặc điểm chung là các công ty an ninh mạng sẽ không phát hiện ra bất kỳ mối đe dọa nào cho đến khi mã độc chính thức được cài vào máy chủ.
Andrew Brandt, chuyên gia bảo mật làm việc tại công ty an ninh mạng Sophos là người đã phát hiện ra động thái này của hacker Trung Quốc. Ông đã phát hiện thấy những truy vấn bất thường vào hệ thống honeypot (hệ thống máy chủ giả để thu hút và đánh lừa hacker xâm nhập, nhằm bảo vệ, ngăn không cho chúng tiếp xúc với hệ thống thật). Trong một email gửi đến trang công nghệ ZDNet, ông Brandt nói rằng đây là một “sự phát hiện tình cờ”.
Hôm qua (24/5), chuyên gia bảo mật này đã đăng tải phát hiện của mình trên blog của công ty Sophos, nêu chi tiết về hoạt động quét tìm của hacker cũng như mã độc mà chúng tải xuống máy chủ bị nhiễm.
Kiểu tấn công hiếm gặp nhưng nguy hiểm
Ông Brandt đã mô tải quá trình tấn công của hacker như sau: Đầu tiên chúng quét tìm các cơ sở dữ liệu MySQL có lỗ hổng, cho phép thực thi các lệnh SQL. Sau đó, chúng kiểm tra xem cơ sở dữ liệu ấy có nằm trên máy chủ Windows không. Từ đó, chúng thực hiện các lệnh để tải tệp chứa mã độc GandCrab xuống máy đó.
Do hầu hết các quản trị viên đều bảo vệ máy chủ MySQL bằng cách đặt mật khẩu, cho nên mục đích của hacker lần này là quét tìm các cơ sở dữ liệu bị đặt cấu hình sai, hoặc không có mật khẩu.
Ông Brandt đã theo dõi quá trình quét tìm và phát tán mã độc của hacker trên một máy chủ honeypot. Máy chủ này cài đặt một phần mềm gọi là HFS có nhiệm vụ ghi lại quá trình tải xuống mã độc của hacker.
“Máy chủ đã ghi nhận được hơn 500 lần tải xuống một file có tên là 3306-1.exe. Ngoài ra, hacker còn tải xuống các file có tên là 3306-2.exe, 3306-3.exe, và 3306-4.exe, có code tương tự như file đầu tiên”, ông Brandt cho biết.
Cũng theo ghi nhận của vị chuyên gia bảo mật này thì trong vòng 5 ngày qua đã có hơn 800 lượt tải xuống file 3306-1.exe. Còn tính trong vòng 1 tuần trước đó thì có đến 2300 lượt tải xuống các file khác nhau.
“Đây không phải là một cuộc tấn công diện rộng, nhưng nó cho thấy một nguy cơ cao đối với máy chủ cơ sở dữ liệu MySQL bỏ ngỏ cổng 3306, khiến cho hacker có thể tiếp cận và tải mã độc xuống máy”, ông Brandt nhận định.
Vị chuyên gia bảo mật của Sophos nói rằng kiểu tấn công bằng cách cài mã độc tống tiền (như GandCrab) vào máy chủ cơ sở dữ liệu là rất hiếm gặp. Các nhóm hacker thường tìm cách tấn công các máy chủ cơ sở dữ liệu để xâm nhập vào các công ty nhằm đánh cắp dữ liệu có giá trị hoặc tài sản trí tuệ, hoặc dùng máy bị nhiễm để đào tiền ảo, chứ chúng ít khi cài mã độc tống tiền giống như GandCrab.