Преступники превращают MySQL-серверы в DDoS-боты

Неизвестные злоумышленники взломали ряд MySQL-серверов по всему миру, объединили их в ботнет и используют для осуществления DDoS-атак, сообщают исследователи ИБ-компании Symantec. На данный момент самым крупным атакам подверглись хостинг-провайдер в США и IP-адрес, зарегистрированный в Китае. Имена жертв не разглашаются.

По данным экспертов, инфицированные серверы расположены в 10 странах мира, но большая их часть приходится на Индию, Китай, Бразилию и Нидерланды. Количество зараженных серверов не уточняется.

«Мы полагаем, что злоумышленники скомпрометировали MySQL-серверы из-за их более высокой пропускной способности. С помощью такого масштабного ботнета можно предпринимать атаки на более высокопрофильные цели», - отметил аналитик Symantec Гэвин Горман (Gavin O. Gorman).

В ходе атак злоумышленники используют вариант трояна Chikdos, обнаруженного в декабре 2013 года. После инфицирования преступники внедряют SQL-код, который, в свою очередь, устанавливает вредоносную UDF-функцию на целевом сервере. После загрузки в MySQL она исполняется. В данном случае UDF используется в качестве загрузчика, а также для модификации строк регистра с целью активации терминальных сервисов (TerminalServices). Таким образом хакеры получают возможность удаленно контролировать скомпрометированный сервер и создавать новые учетные записи.

После этого с двух вредоносных web-сайтов загружаются две разновидности Chikdos. Если два года назад в ходе подобной кампании злоумышленники использовали автоматизированные инструменты или червя для компрометации MySQL-сервера и установки UDF, то в этом случае экспертам не удалось идентифицировать вектор заражения.

Для того чтобы обезопасить себя от атак подобного рода, специалисты Symantec рекомендуют не злоупотреблять правами администратора, регулярно обновлять приложения, для работы с которыми нужны права администратора, а также проверять конфигурацию сервисов, требующих удаленного доступа к серверу.