Web-gebaseerde DNA-sequencer toepassingen zijn onder aanval van een mysterieuze hacker groep met behulp van een nog-niet-gepatchte zero-day om de controle van de beoogde apparaten.
De aanvallen begonnen, twee dagen geleden, op 12 juni, en zijn nog steeds gaande, volgens o / o Anubhav, een security-onderzoeker met NewSky Beveiliging, die deelde zijn bevindingen met ZDNet.
Hackers planten schelpen op de DNA-sequencer web apps
Anubhav zegt de groep, die opereert vanuit een Iran-gebaseerde IP-adres heeft is het scannen het internet voor dnaLIMS, een web-based applicatie geïnstalleerd door bedrijven en onderzoeksinstellingen te hanteren DNA-sequencing activiteiten.
De onderzoeker vertelde ZDNet de hacker misbruik maakt van CVE-2017-6526, een beveiligingsprobleem in dnaLIMS dat is niet is hersteld tot op de dag nadat de verkoper was medegedeeld terug in 2017.
Anubhav zegt de aanvallers met behulp van deze kwetsbaarheid te planten schelpen, die hen in staat stellen om de controle van de onderliggende web server vanaf externe locaties.
Aanval motieven onbekend
Het is onduidelijk hoe de groep is met behulp van deze backdoors in gehackte systemen, post-infectie. Anubhav zegt er kunnen twee scenario ‘ s.
In de eerste, de aanvaller mag op zoek naar exfiltrate hashes van DNA-sequenties van het gegevensbestand van de toepassing.
“DNA-diefstal in specifieke gevallen kan vruchtbaar zijn,” Anubhav zei. “Of het kan worden verkocht op de zwarte markt, of een ‘high profile’ hacker kan eigenlijk op zoek naar een specifieke persoon de gegevens.”
Ten tweede, en het meest waarschijnlijke scenario is dat de aanvallers mogelijk met het geïnfecteerde servers als onderdeel van een botnet, of met behulp van de shell te planten cryptocurrency mijnwerkers op de gekaapte systemen.
Een vorige ZDNet rapport benadrukte dat de meeste IoT botnets tegenwoordig zijn de werken van aandacht-zoekende kinderen die willekeurige exploits van de ExploitDB exploiteren database en monteren van botnets in willekeurige volgorde.
Dit kan één van de gevallen, met deze botnet ‘ s auteur met behulp van een exploit op willekeurige, niet weten wat ze eigenlijk targeting.
“Deze bijzondere aanval kan niet geschikt zijn voor een script kiddie of een botnet-operator,” Anubhav zei, wijst uit dat er slechts tussen de 35 en 50 van dergelijke zeer complexe DNA-sequencer apps online beschikbaar, een aantal veel te klein voor het bouwen van een botnet rond.
Groep ook gerichte routers en Stutten servers
Bovendien, de theorie dat dit het werk van een script kiddie spelen met willekeurige aanvallen, in plaats van een natiestaat gesponsorde groep, wordt geloofwaardiger als we kijken naar de historische activiteit komst van de aanvaller van het IP-adres.
Per NewSky eigen administratie, de aanvaller is gezien het gebruik van de tool nmap scan de internet-en de poging tot het gebruik van twee andere exploits over te nemen systemen-een voor de Zyxel routers, en een tweede voor Apache Struts installaties.
“We kunnen niet beslissen over het motief van deze aanvallen gewoon nog niet,” Anubhav vertelde ZDNet. “Ongeacht de DNA-sequencer systemen die houder zijn van deze vertrouwelijke informatie kan krijgen pwned.”
Met de verkoper weigert om de patch voor het lek terug in 2017, deze systemen blijven open voor aanvallen.
De gevaren die deze systemen vormen kan alleen beoordeeld worden op een per-geval basis. Als de DNA-sequencing data is geanonimiseerd, een gestolen gegevens zal waarschijnlijk nutteloos. Zo niet, dan is een ernstige tekortkoming kan optreden als de hackers gestolen hebben alle info van deze systemen.
Zeker, DNA-gegevens kunnen worden nutteloos, maar met biometrische oplossingen verspreiden van elk jaar, niet-anonieme gegevens kunnen worden echt de moeite waard om iets in een paar jaar van nu.
Meer IOCs over deze aanval zijn beschikbaar in Anubhav verslag.
Gerelateerde malware en cybercriminaliteit dekking:
Exim e-mail-servers zijn nu onder attackFIN8 hackers terugkeer na twee jaar bij aanvallen tegen de gastvrijheid sectorRansomware stopt productie voor dagen op grote vliegtuig onderdelen manufacturerMicrosoft waarschuwt over spam-e-mail campagne misbruik maken van Office vulnerability8 jaar later, in de zaak tegen de Mariposa malware bende naar voren beweegt in de USTwo hacking groepen die verantwoordelijk zijn voor de enorme piek in de gehackte Magento 2.x storesThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters