Symantec cảnh báo phần mềm độc hại nhằm vào các cơ sở dữ liệu SQL

Symantec warns of malware targeting SQL databases

By Jeremy Kirk, IDG News Service

Nov 23, 2012 7:50 AM

Theo: http://www.pcworld.com/article/2016288/symantec-warns-of-malware-targeting-sql-databases.html

Bài được đưa lên Internet ngày: 23/11/2012

Lời người dịch: Lại một sâu có khả năng có họ hàng với Stuxnet, đương nhiên và mặc định dành cho nền tảng Windows nữa đã được Symantec phát hiện, và lần này thì còn nguy hiểm hơn vì nó không nhằm vào việc ăn cắp tiền hay dữ liệu, mà nhằm vào việc phá hoại các cơ sở dữ liệu trong hệ quản trị cơ sở dữ liệu Microsoft SQL Server. Vài trích đoạn từ bài viết: “Thú vị là, Narilam chia sẻ một vài sự tương tự với Stuxnet ... Một khi nằm trong một máy, nó tìm kiếm các cơ sở dữ liệu Microsoft SQL. Nó sau đó săn lùng các từ đặc thù trong cơ sở dữ liệu SQL... Phần mềm độc hại này không có bất kỳ chức năng nào để ăn cắp thông tin từ hệ thống bị lây nhiễm và dường như được lập trình chuyên để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích... Biết rằng các dạng đối tượng mà mối đe dọa này tìm kiếm, nhằm vào các cơ sở dữ liệu dường như có liên quan tới các hệ thống đặt hàng, kế toán hoặc quản lý khách hàng thuộc về các tập đoàn”. Như vậy là sau khi có phần mềm độc hại Gauss, có họ hàng với Stuxnet, Duqu, Flame - những thứ đương nhiên và mặc định cho Windows chuyên để lấy thông tin về các giao dịch ngân hàng, thì nay lại tới Narilam, nhằm vào Microsoft SQL Server. Xem thêm: Kaspersky tìm kiếm trợ giúp để phá trojan Gauss.

Symantecs đã tóm được một mẩu phần mềm độc hại kỳ cục khác dường như nhằm vào Iran và được thiết kết để chọc vào các cơ sở dữ liệu SQL.

Hãng này đã phát hiện ra phần mềm độc hại, gọi là W32.Narilam, hôm 15/11 nhưng vào thứ sáu đã đưa ra ghi chép chi tiết hơn từ Shunichi Imano. Narilam có liên quan tới một “rủi ro thấp” của hãng, nhưng theo một bản đồm đa số các lây nhiễm được tập trung ở Iran, với một ít tại Anh, nội địa Mỹ và bang Alaska.

Thú vị là, Narilam chia sẻ một vài sự tương tự với Stuxnet, phần mềm độc hại đã nhằm vào Iran từng làm đứt đoạn các khả năng tinh chế uranium của nó bằng việc can thiệp vào phần mềm công nghiệp chạy các máy li tâm của nó. Giống như Stuxnet, Narilam cũng là một sâu, lan truyền qua các ổ tháo lắp được và mạng chia sẻ tệp, Imano viết.

Một khi nằm trong một máy, nó tìm kiếm các cơ sở dữ liệu Microsoft SQL. Nó sau đó săn lùng các từ đặc thù trong cơ sở dữ liệu SQL - một số trong đó là vùng Vịnh (Persian), ngôn ngữ chính thức của Iran - và thay thế các khoản trong cơ sở dữ liệu bằng các giá trị ngẫu nhiên hoặc xóa các trường nhất định.

Một số từ bao gồm "hesabjari", có nghĩa là tài khoản hiện hành; "pasandaz," có nghĩa là tiết kiệm, và "asnad," có nghĩa là khế ước (bond) tài chính, Imano viết.

“Phần mềm độc hại này không có bất kỳ chức năng nào để ăn cắp thông tin từ hệ thống bị lây nhiễm và dường như được lập trình chuyên để gây hại cho các dữ liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”, Imano viết. “Biết rằng các dạng đối tượng mà mối đe dọa này tìm kiếm, nhằm vào các cơ sở dữ liệu dường như có liên quan tới các hệ thống đặt hàng, kế toán hoặc quản lý khách hàng thuộc về các tập đoàn”.

Các khách hàng không bị nhắm đích

Các dạng cơ sở dữ liệu được Narilam tìm kiếm có khả năng không được những người sử dụng ở nhà sử dụng. Nhưng Narilam có thể là sự đau đầu cho các công ty mà sử dụng các cơ sở dữ liệu SQL nhưng không có sao lưu.

“Tổ chức bị lây nhiễm sẽ có khả năng phải chịu sự phá hoại đáng kể và thậm chí mất mát tài chính khi khôi phục lại cơ sở dữ liệu”, Imano viết. “Khi phần mềm độc hại này được nhằm vào việc phá hoại cơ sở dữ liệu bị lây nhiễm và không làm một bản sao cơ sở dữ liệu gốc trước hết, thì những gì bị lây nhiễm vì mối đe dọa này sẽ có một con đường dài để phục hồi ở phía trước đối với họ”.

Stuxnet được tin tưởng rộng rãi từng được Mỹ và Israel tạo ra với ý định làm chậm đi chương trình hạt nhân của Iran. Từ khi nó bị phát hiện vào tháng 06/2010, các nhà nghiên cứu đã liên kết nó tới các phần mềm độc hại khác, bao gồm Duqu và Flame, chỉ ra một chiến dịch gián điệp và phá hoại lâu dài đã nhắc nhở về mối quan ngại đối với các xung đột không gian mạng đang leo thang giữa các quốc gia.

Symantec has spotted another odd piece of malware that appears to be targeting Iran and is designed to meddle with SQL databases.

The company discovered the malware, called W32.Narilam, on November 15 but on Friday published a more detailed writeup by Shunichi Imano. Narilam is rated as a "low risk" by the company, but according to a map, the majority of infections are concentrated in Iran, with a few in the U.K., the continental U.S., and the state of Alaska.

Interestingly, Narilam shares some similarities with Stuxnet, the malware targeted at Iran that disrupted its uranium refinement capabilities by interfering with industrial software that ran its centrifuges. Like Stuxnet, Narilam is also a worm, spreading through removable drives and network file shares, Imano wrote.

Once on a machine, it looks for Microsoft SQL databases. It then hunts for specific words in the SQL database—some of which are in Persian, Iran's main language—and replaces items in the database with random values or deletes certain fields.

Some of the words include "hesabjari," which means current account; "pasandaz," which means savings; and "asnad," which means financial bond, Imano wrote.

"The malware does not have any functionality to steal information from the infected system and appears to be programmed specifically to damage the data held within the targeted database," Imano wrote. "Given the types of objects that the threat searches for, the targeted databases seem to be related to ordering, accounting, or customer management systems belonging to corporations."

Consumers not targeted

The types of databases sought by Narilam are unlikely to be employed by home users. But Narilam could be a headache for companies that use SQL databases but do not keep backups.

"The affected organization will likely suffer significant disruption and even financial loss while restoring the database," Imano wrote. "As the malware is aimed at sabotaging the affected database and does not make a copy of the original database first, those affected by this threat will have a long road to recovery ahead of them."

Stuxnet is widely believed to have been created by the U.S. and Israel with the intent of slowing down Iran's nuclear program. Since its discovery in June 2010, researchers have linked it to other malware including Duqu and Flame, indicating a long-running espionage and sabotage campaign that has prompted concern over escalating cyberconflict between nations.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com