Siber Korsanlar Binlerce Microsoft SQL Sunucusuna Arka Kapı Yükledi 

Güvenlik araştırmacıları yaptıkları açıklamada Mayıs 2018’e kadar uzanan ve Microsoft SQL sunucularını hedef alan bir siber suçu ortaya çıkardı. Siber suçluların Microsoft SQL sunucuları üzerinden çalışan Windows işletim sistemli bilgisayarlar arka kapı ve aralarında kripto para ile çok fonksiyonlu uzaktan kontrol araçlarının da yer aldığı kötü amaçlı yazılımlar yüklediği anlaşıldı.

Araştırmacılar, “kaba” bir saldırı yöntemi seçen ve “Vollar” adlı kripto parayı çıkarmaya odaklanan saldırıya “Vollgar” adını verdi. Saldırı, başlıca zayıf şifrelere sahip SQL sunucularını hedefliyor ve brute force saldırısı ile şifreleri kırıyor. Saniyeler içinde binlerce şifre tahmini yapmak için kullanılan brute attack yazılımları, zayıf şifreleri kolayca kırabiliyor.

Saldırı kapsamında ağırlıklı olarak sağlık, havacılık, Bilişim Teknolojileri (IT), telekomünikasyon ve eğitim sektörlerinin hedef alındığı, Çin, Hindistan, ABD, Güney Kore ve Türkiye’de 2-3 bin veri tabanı sunucusuna sızıldığı ifade edildi.

Güvenlik araştırmacıları, yayınladıkları komut dizini ile sistem operatörlerinin kullandıkları Windows MS-SQL sunucularında saldırı olup olmadığını kontrol etmelerini sağlıyor.

Çoklu saldırıya neden oluyor

Vollgar saldırısı, şifre kırma aşaması başarılı olduktan sonra içine sızılan ağda ayarların değiştirilmesi ile devam ediyor. Siber suçlular, ağ içerisinde zararlı MS-SQL komutlarını devreye alıp kötü amaçlı yazılımlar yüklüyor. Siber suçlular aynı zamanda hem MS-SQL sunucusunda hem de işletim sisteminde üst seviye idare sağlayan birçok arka kapı oluşturuyor.

Ardından, yerel dosya sistemi içine dosya indirme komutları yüklenerek saldırıya devam ediliyor. Hedef dosyalara birden çok indirme komutu uygulanarak saldırının başarısız olma ihtimalinin düşürülmesi de amaçlanıyor.

SQLAGENTIDC.exe veya SQLAGENTVDC.exe adlı uygulama çalıştırma komutlar, sistemden olabildiğince fazla veri çalabilmeyi, aynı zamanda sızılan sistemdeki tehdit içeren güvenlik sistemlerini etkisiz kılmayı amaçlıyor. Dahası, uygulama çalıştırıldığı anda farklı uzaktan erişim araçlarını hayata geçiriyor, aynı zamanda Monero ve VDS kripto paralarını çıkaran yazılımı harekete geçiriyor.

Güvenlik araştırmacıları saldırının kaynağının ele geçirilmiş bilgisayarlardan geldiğini, ana kumanda ve kontrol sunucularının ise Çin’de bulunduğunu kaydediyor. Bot olarak kullanılan bilgisayarların, birden fazla siber suç örgütü tarafından kullanıldığı anlaşıldı.

Yarım milyon civarında MS-SQL veri tabanı hizmeti kullanan bilgisayar bulunduğuna dikkat çeken uzmanlar, siber suçluların Vollgar saldırısı ile “güvenlik bariyerleri zayıf sistemleri” hedeflediklerini söylüyor. Bu noktada saldırıya karşı koyabilmek için en kritik faktörün MS-SQL sunucularını güçlü şifreler iler korumak olduğu uyarısında bulunuluyor.