Symantec
warns of malware targeting SQL databases
By Jeremy
Kirk, IDG News Service
Nov 23, 2012 7:50 AM
Bài được đưa lên
Internet ngày: 23/11/2012
Lời
người dịch: Lại một sâu có khả năng có họ hàng với
Stuxnet, đương nhiên và mặc định dành cho nền tảng
Windows nữa đã được Symantec phát hiện, và lần
này thì còn nguy hiểm hơn vì nó không nhằm vào việc
ăn cắp tiền hay dữ liệu, mà nhằm vào việc phá hoại
các cơ sở dữ liệu trong hệ quản trị cơ sở dữ liệu
Microsoft SQL Server. Vài trích đoạn từ bài viết: “Thú
vị là, Narilam chia sẻ một vài sự tương tự với
Stuxnet ... Một khi nằm trong một máy, nó tìm kiếm
các cơ sở dữ liệu Microsoft SQL. Nó sau đó săn lùng
các từ đặc thù trong cơ sở dữ liệu SQL... Phần mềm
độc hại này không có bất kỳ chức năng nào để ăn
cắp thông tin từ hệ thống bị lây nhiễm và dường
như được lập trình chuyên để gây hại cho các dữ
liệu nằm bên trong cơ sở dữ liệu bị nhắm đích...
Biết rằng các dạng đối tượng mà mối đe dọa này
tìm kiếm, nhằm vào các cơ sở dữ liệu dường như
có liên quan tới các hệ thống đặt hàng, kế toán hoặc
quản lý khách hàng thuộc về các tập đoàn”. Như
vậy là sau khi có phần mềm độc hại Gauss, có họ
hàng với Stuxnet, Duqu, Flame - những thứ đương nhiên và
mặc định cho Windows chuyên để lấy thông tin về các
giao dịch ngân hàng, thì nay lại tới Narilam, nhằm vào
Microsoft SQL Server. Xem thêm: Kaspersky
tìm kiếm trợ giúp để phá trojan Gauss.
Symantecs đã tóm được
một mẩu phần mềm độc hại kỳ cục khác dường như
nhằm vào Iran và được thiết kết để chọc vào các cơ
sở dữ liệu SQL.
Hãng này đã phát
hiện ra phần mềm độc hại, gọi là W32.Narilam, hôm
15/11 nhưng vào thứ sáu đã đưa ra ghi chép chi tiết hơn
từ Shunichi Imano. Narilam có liên quan tới một “rủi ro
thấp” của hãng, nhưng theo một bản đồm đa số các
lây nhiễm được tập trung ở Iran, với một ít tại
Anh, nội địa Mỹ và bang Alaska.
Thú
vị là, Narilam chia sẻ một vài sự tương tự với
Stuxnet, phần mềm độc hại đã nhằm vào Iran từng làm
đứt đoạn các khả năng tinh chế uranium của nó bằng
việc can thiệp vào phần mềm công nghiệp chạy các máy
li tâm của nó. Giống như Stuxnet, Narilam cũng là một sâu,
lan truyền qua các ổ tháo lắp được và mạng chia sẻ
tệp, Imano viết.
Một
khi nằm trong một máy, nó tìm kiếm các cơ sở dữ liệu
Microsoft SQL. Nó sau đó săn lùng các từ đặc thù trong cơ
sở dữ liệu SQL - một số trong đó là vùng Vịnh
(Persian), ngôn ngữ chính thức của Iran - và thay thế các
khoản trong cơ sở dữ liệu bằng các giá trị ngẫu
nhiên hoặc xóa các trường nhất định.
Một số từ bao gồm
"hesabjari", có nghĩa là tài khoản hiện hành;
"pasandaz," có nghĩa là tiết kiệm, và "asnad,"
có nghĩa là khế ước (bond) tài chính, Imano viết.
“Phần
mềm độc hại này không có bất kỳ chức năng nào để
ăn cắp thông tin từ hệ thống bị lây nhiễm và dường
như được lập trình chuyên để gây hại cho các dữ
liệu nằm bên trong cơ sở dữ liệu bị nhắm đích”,
Imano viết. “Biết rằng các dạng đối tượng mà mối
đe dọa này tìm kiếm, nhằm vào các cơ sở dữ liệu
dường như có liên quan tới các hệ thống đặt hàng, kế
toán hoặc quản lý khách hàng thuộc về các tập đoàn”.
Các khách hàng
không bị nhắm đích
Các dạng cơ sở dữ
liệu được Narilam tìm kiếm có khả năng không được
những người sử dụng ở nhà sử dụng. Nhưng Narilam có
thể là sự đau đầu cho các công ty mà sử dụng các cơ
sở dữ liệu SQL nhưng không có sao lưu.
“Tổ chức bị lây
nhiễm sẽ có khả năng phải chịu sự phá hoại đáng kể
và thậm chí mất mát tài chính khi khôi phục lại cơ sở
dữ liệu”, Imano viết. “Khi phần mềm độc hại này
được nhằm vào việc phá hoại cơ sở dữ liệu bị lây
nhiễm và không làm một bản sao cơ sở dữ liệu gốc
trước hết, thì những gì bị lây nhiễm vì mối đe dọa
này sẽ có một con đường dài để phục hồi ở phía
trước đối với họ”.
Stuxnet
được tin tưởng rộng rãi từng được Mỹ và Israel tạo
ra với ý định làm chậm đi chương trình hạt nhân của
Iran. Từ khi nó bị phát hiện vào tháng 06/2010, các nhà
nghiên cứu đã liên kết nó tới các phần mềm độc hại
khác, bao gồm Duqu và Flame, chỉ ra một chiến dịch gián
điệp và phá hoại lâu dài đã nhắc nhở về mối quan
ngại đối với các xung đột không gian mạng đang leo
thang giữa các quốc gia.
Symantec
has spotted another odd piece of malware that appears to be targeting
Iran and is designed to meddle with SQL databases.
The
company discovered the malware, called W32.Narilam, on
November 15 but on Friday published a more detailed
writeup by Shunichi Imano. Narilam is rated as a "low risk"
by the company, but according to a map, the majority of infections
are concentrated in Iran, with a few in the U.K., the continental
U.S., and the state of Alaska.
Interestingly,
Narilam shares some similarities with Stuxnet,
the malware targeted at Iran that disrupted its uranium refinement
capabilities by interfering with industrial software that ran its
centrifuges. Like Stuxnet, Narilam is also a worm, spreading through
removable drives and network file shares, Imano wrote.
Once
on a machine, it looks for Microsoft SQL databases. It then hunts for
specific words in the SQL database—some of which are in Persian,
Iran's main language—and replaces items in the database with random
values or deletes certain fields.
Some
of the words include "hesabjari," which means current
account; "pasandaz," which means savings; and "asnad,"
which means financial bond, Imano wrote.
"The
malware does not have any functionality to steal information from the
infected system and appears to be programmed specifically to damage
the data held within the targeted database," Imano wrote. "Given
the types of objects that the threat searches for, the targeted
databases seem to be related to ordering, accounting, or customer
management systems belonging to corporations."
Consumers
not targeted
The
types of databases sought by Narilam are unlikely to be employed by
home users. But Narilam could be a headache for companies that use
SQL databases but do not keep backups.
"The
affected organization will likely suffer significant disruption and
even financial loss while restoring the database," Imano wrote.
"As the malware is aimed at sabotaging the affected database and
does not make a copy of the original database first, those affected
by this threat will have a long road to recovery ahead of them."
Stuxnet
is widely believed to have been created
by the U.S. and Israel with the intent of slowing down Iran's
nuclear program. Since its discovery in June 2010, researchers have
linked it to other malware including Duqu and Flame, indicating a
long-running espionage and sabotage campaign that has prompted
concern over escalating cyberconflict between nations.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.