Иранские хакеры атакуют приложения для секвенирования ДНК - «Новости»

Xakep #242. Фаззинг

• Содержание выпуска


• Подписка на «Хакер»

Эксперт компании NewSky Security Акит Анубхав (Ankit Anubhav), обнаружил, что начиная с 12 июня 2019 года неизвестная группа иранских хакеров атакует веб-приложения для секвенирования ДНК. Для этой кампании злоумышленники используют неисправленную уязвимость.

По данным исследователя, группировка работает с иранского IP-адреса и сканирует интернет в поисках dnaLIMS — веб-приложения, устанавливаемого компаниями и исследовательскими институтами для обработки операций секвенирования ДНК.

Для компрометации целевых устройств атакующие эксплуатируютуязвимость CVE-2017-6526 , обнаруженную в dnaLIMS еще в 2017 году, но неисправленную до сих пор. С ее помощью они создают shell’ы, позволяющие удаленно контролировать лежащий в основе всего веб-север.

Пока неясно, как именно злоумышленники намерены использовать такие бэкдоры. Анубхав полагает, что здесь допустимы два возможных сценария. В первом случае злоумышленники могут попытаться извлечь хэши секвентирования ДНК из БД приложения.

«Кража ДНК в определенных случаях может быть выгодной. Либо можно продать эти данные на черном рынке, либо высокопрофессиональные злоумышленники  могут искать информацию о конкретном человеке», — пишет исследователь.

Второй возможный сценарий заключается в том, что злоумышленники могут сделать зараженные серверы частью ботнета или использовать shell’ы для установки майнеров криптовалюты на взломанные системы. Впрочем, по данным Анубхава, в сети доступны лишь 35-50 сложных приложений для секвенирования ДНК, а такие масштабы вряд ли представляют интерес для оператора ботнета.

Также исследователь отмечает, что интерес в данном случае представляет и историческая активность, ранее исходившая с  IP-адреса злоумышленников. По данным NewSky ранее эти атакующие использовали nmap для сканирования сети и пытались применять два других эксплойта для компрометации систем: один для маршрутизаторов Zyxel, а второй для Apache Struts. Таким образом, можно предположить, что с данного IP-адреса действуют любители или скрипт-кидди, но не профессиональная группа «правительственных хакеров».