Web-baseret DNA-sequencer-programmer er under angreb af en mystisk hacker-gruppen ved hjælp af et still-unpatched nul-dag til at tage kontrol af målrettede enheder.
De angreb, der er startet for to dage siden, den 12 juni og er stadig i gang, efter at Ankit Anubhav, en sikkerhedsekspert med Nevskij Sikkerhed, som delte hans resultater med ZDNet.
Hackere plantning skaller på DNA-sequencer web apps
Anubhav siger gruppen, som opererer fra et Iran-baseret IP-adresse, har været scanner internettet for dnaLIMS, en web-baseret applikation, der er installeret af virksomheder og forskningsinstitutioner til at håndtere DNA-sekventering handlinger.
Forskeren fortalte ZDNet hacker udnytter CVE-2017-6526, en sårbarhed i dnaLIMS, der ikke er blevet lappet den dag i dag, efter at sælgeren var meddelt tilbage i 2017.
Anubhav siger, at angriberne ved hjælp af denne sårbarhed til at plante skaller, der giver dem mulighed for at styre den underliggende web-server fra fjerntliggende steder.
Angreb motiver ukendt
Det er uklart, hvordan gruppen er ved hjælp af disse bagdøre ind hacket systemer, efter infektion. Anubhav siger, at der kan være to scenarier.
I den første, den angriber kan være på udkig for at exfiltrate hashes af DNA-sekvenser fra programmets database.
“DNA-tyveri i særlige tilfælde kan være frugtbart,” Anubhav sagde. “Det kan enten være solgt på det sorte marked, eller en høj profil, angriberen kan faktisk være på udkig efter en bestemt persons data.”
For det andet, og det mest sandsynlige scenarie er, at angriberne kan bruge den inficerede servere som en del af et botnet, eller brug af skallen til at plante cryptocurrency minearbejdere på kapret systemer.
En tidligere ZDNet rapport fremhæves det, at de fleste IoT botnets i dag er værker af opmærksomhed, søger børnene at tage tilfældige exploits fra ExploitDB udnytte database og samle botnets tilfældigt.
Dette kan være en af disse sager, med dette botnet er forfatter ved hjælp af en udnyttelse på tilfældige, ikke at vide, hvad de er faktisk rettet mod.
“Denne særlige angreb kan ikke være nyttigt for en script kiddie eller et botnet operatør,” Anubhav sagde, peger på, at der kun er mellem 35 og 50 af disse meget komplekse DNA-sequencer-programmer, der er tilgængelige online, en række alt for lille til at opbygge et botnet rundt.
Gruppen også målrettet routere og Struts servere
Desuden, den teori, at det kan være et script kiddie at spille med tilfældige bedrifter, snarere end en nationalstat sponsoreret gruppe, bliver mere troværdig, når vi ser på den historiske aktivitet, der kommer fra hackerens IP adresse.
Per Nevskij ‘ s egne optegnelser, angriberen er blevet set ved brug af nmap værktøj til at scanne internettet og forsøg på at bruge to andre exploits til at tage over-systemer — én for Zyxel routere, og en anden for Apache Stivere anlæg.
“Vi kan ikke afgøre, om motivet for disse angreb endnu,” Anubhav fortalte ZDNet. “Uanset, DNA-sequencer-systemer, der holder dette fortrolige oplysninger kan få pwned.”
Med sælgeren nægter at lappe sikkerhedshuller tilbage i 2017, er disse systemer er fortsat åben for angreb.
De farer, som disse systemer udgør kun kan vurderes på en per-sag. Hvis DNA-sekventering data er anonymiseret, stjålne data vil sandsynligvis være ubrugelig. Hvis ikke, så er et alvorligt brud kan opstå, hvis hackere har stjålet noget info fra disse systemer.
Sikker på, DNA-data, der kan være ubrugelig lige nu, men med biometriske løsninger spredning hvert år, ikke-anonyme data kan faktisk være noget værd i et par år fra nu.
Mere IOCs om dette angreb er til rådighed i Anubhav ‘ s rapport.
Relaterede malware og it-kriminalitet dækning:
Exim e-mail-servere er nu under attackFIN8 hackere vender tilbage efter to år med angreb mod gæstfrihed sectorRansomware stopper produktionen for dage ved større fly dele manufacturerMicrosoft advarer om e-mail-spam kampagne misbruger Kontor vulnerability8 år senere, er sagen mod Mariposa malware banden bevæger sig fremad i USTwo hacking grupper, som er ansvarlige for den enorme stigning i hacket Magento 2.x storesThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre