Şimdiye kadar sadece Linux sunucularında çalışan PostgreSQL veri tabanlarının saldırıya uğradığı biliniyor.
Siber güvenlik uzmanları tarafından PgMiner olarak isimlendirilen botnet, maddi kazanç için web teknolojisini hedefleyen son siber saldırı operasyonlarının uzun bir listesinin yeni üyesi olarak adını duyurdu.
Palo Alto Networks’ün Unit 42 ekibindeki uzmanlara göre botnet, internetten erişilebilen PostgreSQL veri tabanlarına karşı kaba kuvvet (brute-force) saldırıları gerçekleştiriyor.
Gerçekleştirilen saldırılarda basit bir model izleniyor.
Botnet rastgele bir genel ağ aralığı (ör. 18.xxx.xxx.xxx) seçiyor ve ardından bu aralıktaki tüm IP adreslerinde 5432 nolu portun (PostgreSQL port numarasu) açık olup olmadığını kontrol ediyor.
PgMiner etkin bir PostgreSQL sistemi bulursa, botnet tarama aşamasından kaba kuvvet aşamasına geçer. Sonraki aşamada varsayılan PostgreSQL hesabı olan “postgres” için kimlik bilgilerini tahmin etmek amacıyla uzun bir parola listesi içinden denemelerine başlar.
PostgreSQL veri tabanı sahipleri bu kullanıcıyı devre dışı bırakmayı veya parolalarını değiştirmeyi unuttuysa bilgisayar korsanları veritabanına kolayca erişim elde edebilir. Erişimlerini veritabanı uygulamasından temeldeki sunucuya yükseltmek ve tüm işletim sistemini devralmak için PostgreSQL “COPY from PROGRAM” özelliğini kullanır.
Girdikleri veri tabanı sistemi üzerinde daha sağlam bir yer edindikten sonra PgMiner ekibi artık bu sunucu üzerinden para kazanmaya başlıyor. Söz konusu sunucu üzerine bir kripto para madenciliği uygulaması kurarak farkedilene ve engellenene kadar “Monero” kripto parasının madenciliğini yapıyorlar.
Unite 42 ekibi, raporlarını hazırladıkları sırada saldırganların bu madencilik uygulamalarını yalnızca Linux MIPS, ARM ve x64 platformlarına yerleştirme yeteneğine sahip olduklarını açıkladı.
PgMiner botnetinin diğer önemli özellikleri arasında, operatörlerinin virüslü botları Tor ağında barındırılan bir komut ve kontrol (C2) sunucusu aracılığıyla kontrol edebilmesi ve botnet kod tabanının SystemdMiner botnetine benzemesi yer alıyor.
PgMiner, PostgreSQL veri tabanı sunucularına kripto para madenciliği için saldıran ikinci botnet oldu. 2018 yılında StickyDB isimli bir botnet de benzer şekilde sunuculara yerleşerek kripto para madenciliği yapmıştı.
MySQL, MSSQL, Redis ve OrientDB gibi veri tabanları da geçmişte kripto madenciliği botnet’leri tarafından da hedef alınan diğer veritabanı teknolojileri arasında bulunuyor.
Kaynak: zdnet.com
