Web-baserat DNA-sequencer-program är under attack av en mystisk hacker-gruppen med hjälp av en fortfarande ouppdaterad zero-day för att ta kontroll över målinriktade enheter.
Attackerna har börjat för två dagar sedan, den 12 juni och pågår fortfarande, enligt Ankit Anubhav, en säkerhetsforskare med NewSky Säkerhet, som delade med sig av sina slutsatser med ZDNet.
Hackare plantering skal på DNA-sekvenserare web apps
Anubhav säger koncernen som bedriver verksamhet från ett Iran-baserade IP-adress, har varit skanna internet för dnaLIMS, en webb-baserad applikation som installeras av företag och forskningsinstitut för att hantera DNA-sekvensering verksamhet.
Forskaren berättade ZDNet hackare utnyttjar CVE-2017-6526, en sårbarhet i dnaLIMS som inte har lappat till den här dagen när säljaren var anmälda tillbaka i och med 2017.
Anubhav säger angriparna använder denna sårbarhet att plantera skal som tillåter dem att styra den underliggande web server från avlägsna platser.
Attack motiv okänt
Det är oklart hur gruppen är med hjälp av dessa bakdörrar in hackad system, efter infektion. Anubhav säger att det kan vara två scenarier.
I den första, angriparen kan vara ute efter att exfiltrate hashar av DNA-sekvenser från programmets databas.
“DNA stöld i särskilda fall kan vara givande,” Anubhav sagt. “Antingen kan det vara som säljs på svarta marknaden, eller en hög profil angripare kan faktiskt vara ute efter en viss persons uppgifter.”
För det andra, och den mest sannolika scenariot är att angripare kan använda infekterade servrar som en del av ett botnät, eller använda skalet för att plantera cryptocurrency gruvarbetare på den kapade system.
En tidigare ZDNet rapport visar att de flesta IoT botnät numera är verk av kontaktsökande barn att ta slumpmässiga bedrifter från ExploitDB utnyttja databasen och montera botnät på måfå.
Detta kan vara ett av de fall, i och med detta botnet författare med en exploit på måfå utan att veta vad de är faktiskt inriktning.
“Denna attack inte kan vara bra för ett script kiddie eller ett botnät operatör,” Anubhav sade, att påpeka att det endast är mellan 35 och 50 sådana komplexa DNA-sequencer-program som är tillgängliga online, ett flertal alldeles för liten för att bygga ett botnät runt.
Gruppen har också riktade routrar och servrar Struts
Dessutom teorin att detta kan vara ett verk av en script-kiddie spela med random attacker, snarare än att en nation-state-sponsored-gruppen, blir mer trovärdig när vi tittar på den historiska verksamheten kommer från angriparens IP-adress.
Per NewSky eget register, angriparen har skett med hjälp av nmap verktyg för att söka igenom internet och försök att använda två andra utnyttjar för att ta över system-ett för Zyxel routrar, och en andra för Apache Struts installationer.
“Vi kan inte besluta om motivet för dessa attacker bara ännu”, Anubhav berättade ZDNet. “Oavsett, DNA-sekvenserare system som hålla denna konfidentiell information kan få pwned.”
Med säljaren vägrar att lappa säkerhetsbrist tillbaka i 2017, dessa system är öppna för attacker.
De faror som dessa system utgör endast kan utvärderas på ett per-fall. Om DNA-sekvensering data är anonyma, stulna data kommer sannolikt att vara värdelös. Om inte, då en allvarlig överträdelse kan uppstå om hackare har stulit någon information från dessa system.
Visst, DNA-data kan vara värdelös just nu, men med biometriska lösningar sprids varje år, icke-anonymiserad data kan faktiskt vara värt något i ett par år från nu.
Mer IOCs om denna attack är tillgängliga i Anubhav rapport.
Relaterade skadliga program och it-brottslighet täckning:
Exim e-post-servrar är nu under attackFIN8 hackare tillbaka efter två år med attacker mot gästfrihet sectorRansomware stoppar produktionen i dagar i stora flygplansdelar manufacturerMicrosoft varnar om e-post är spam kampanj missbrukar Office vulnerability8 år senare, mot Mariposa malware gäng som rör sig framåt på USTwo hacka grupper som är ansvariga för stor spik i hackad Magento 2.x storesThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter