17/06/19
Неизвестные злоумышленники эксплуатируют неисправленную уязвимость в web-приложениях для секвенирования ДНК с целью захватить контроль над атакуемыми устройствами. Как сообщает исследователь безопасности из NewSky Security Анкит Анубхав (Ankit Anubhav), атаки начались 12 июня нынешнего года.
По словам исследователя, в ходе атак группировка использует иранские IP-адреса. Киберпреступники сканируют интернет в поисках dnaLIMS – web-приложения, используемого компаниями и исследовательскими институтами для секвенирования ДНК. В атаках эксплуатируется уязвимость CVE-2017-6526, о которой разработчику dnaLIMS известно еще с 2017 года, и которая до сих пор остается неисправленной. С ее помощью злоумышленники внедряют оболочки, позволяющие им удаленно получить контроль над web-сервером.
Мотивы группировки пока не ясны. По словам Анубхава, есть два возможных варианта. Во-первых, злоумышленников могут интересовать хранящиеся в базе данных приложения хеши последовательностей ДНК, которые можно продать на черном рынке. Кроме того, высокопрофильные хакеры могут искать данные о ДНК конкретного человека.
Во-вторых, группировка может использовать захваченные серверы для построения ботнета или с помощью оболочки устанавливать на взломанные системы ПО для майнинга криптовалюты. Не исключено также, что ботнет создают срипт-кидди, не преследующие никакой конкретной цели. Они могли взять первый попавшийся эксплоит, даже не зная, что именно атакуют.
Тем не менее, подобная уязвимость вряд ли подходит для создания ботнета, поскольку приложения для секвенирования ДНК используются нечасто и их довольно мало.
Секвенирование биополимеров (белков и нуклеиновых кислот ДНК и РНК) – определение их аминокислотной или нуклеотидной последовательности.
