Badacze bezpieczeństwa odkryli w tym tygodniu operację botnetu skierowaną do baz danych PostgreSQL w celu zainstalowania koparek do kryptowalut.
Nazwany przez badaczy jako PgMiner botnet jest najnowszą z długiej listy ostatnich operacji cyberprzestępczych, które są ukierunkowane na technologie internetowe w celu osiągnięcia zysków pieniężnych.
Według badaczy z jednostki „UNIT 42 Palo Alto Networks”, botnet działa poprzez brutalne ataki na dostępne w Internecie bazy danych PostgreSQL.
Ataki te przebiegają według prostego schematu.
Botnet wybiera losowo zakres sieci publicznej (np. 18.xxx.xxx.xxx), a następnie iteruje przez wszystkie adresy IP należące do tego zakresu, szukając systemów, które mają wystawiony w Internecie port PostgreSQL (port 5432).
Jeśli PgMiner znajdzie aktywny system PostgreSQL, botnet przechodzi z fazy skanowania do fazy brute-force, gdzie przechodzi przez długą listę haseł, próbując odgadnąć dane uwierzytelniające „postgres”, domyślne konto PostgreSQL.
Jeśli właściciele bazy danych PostgreSQL zapomnieli wyłączyć tego użytkownika lub zapomnieli zmienić jego hasło, hakerzy uzyskują dostęp do bazy danych i używają funkcji PostgreSQL COPY do eskalowania dostępu z aplikacji bazodanowej na serwer bazodanowy i przejęcia całego systemu operacyjnego.
Po uzyskaniu większej kontroli nad zainfekowanym systemem, PgMiner uruchamia „koparki” i próbuje wydobywać maksymalnie dużo kryptowalut Monero, zanim zostaną wykryte.
Zgodnie z „UNIT 42”, w momencie publikacji raportu botnet miał możliwość uruchomienia koparek tylko na platformach Linux MIPS, ARM i x64.
Inne godne uwagi cechy botnetu PgMiner to fakt, że jego operatorzy kontrolują zainfekowane boty za pomocą serwera Command and Control (C2) hostowanego w sieci Tor oraz że baza kodowa botnetu wydaje się przypominać botnet SystemdMiner.
PgMiner po raz drugi celuje w bazy danych PostgreSQL, przy czym podobne ataki miały miejsce w 2018 r. i zostały przeprowadzone przez botnet StickyDB.
Inne technologie baz danych, które również były w przeszłości wykorzystywane przez botnety kryptograficzne, to MySQL, MSSQL, Redis i OrientDB.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych