Иранские хакеры (зачем-то) атакуют приложения для секвенирования ДНК

Опубликовано at 16:18
55 0

Странная история происходит с 12 июня с веб-приложениями для секвенирования ДНК. Единственное, что пока удалось установить про их взлом, это национальную принадлежность хакеров.

Эксперт компании NewSky Security Акит Анубхав (Ankit Anubhav), обнаружил, что неизвестная группа иранских хакеров атакует веб-приложения dnaLIMS для секвенирования ДНК. Для этой кампании, длящейся уже неделю, злоумышленники используют неисправленную уязвимость.

dnaLIMS — веб-приложение, устанавливаемого компаниями и исследовательскими институтами для обработки операций секвенирования ДНК. Секвенирование биополимеров (белков и нуклеиновых кислот — ДНК и РНК) — определение их аминокислотной или нуклеотидной последовательности (от лат. sequentum — последовательность). В результате секвенирования получают формальное описание первичной структуры линейной макромолекулы в виде последовательности мономеров в текстовом виде. Размеры секвенируемых участков ДНК обычно не превышают 100 пар нуклеотидов (next-generation sequencing) и 1000 пар нуклеотидов при секвенировании по Сенгеру. В результате секвенирования перекрывающихся участков ДНК получают последовательности участков генов, целых генов, тотальной мРНК и даже полных геномов организмов

Для компрометации целевых устройств атакующие эксплуатируют уязвимость CVE-2017-6526 , обнаруженную в dnaLIMS еще в 2017 году, но не исправленную (вероятно, из-за узкой специализации ПО) до сих пор. С  помощью этой уязвимости, иранские хакеры создают shell’ы, позволяющие удаленно контролировать взаимодействующий с ПО веб-север.

Хотя мотивации мошенников не известны, очевидных варианта дальнейших действий у них два. Во-первых, хакеры могут попытаться извлечь хэши секвентирования ДНК из БД приложения.

«Кража ДНК в определенных случаях может быть выгодной. Либо можно продать эти данные на черном рынке, либо высокопрофессиональные злоумышленники могут искать информацию о конкретном человеке», — предполагает Акит Анубхав.

Второй возможный сценарий заключается в том, что злоумышленники могут сделать зараженные серверы частью ботнета или использовать shell’ы для установки майнеров криптовалюты на взломанные системы. Хотя интуитивно этот вариант кажется более вероятным, он разбивается о статистику: в сети доступны лишь 35-50 сложных приложений для секвенирования ДНК, а такие масштабы вряд ли представляют интерес для оператора ботнета.

Есть еще третий вариант, что ПО для секвенирования ДНК взламывают новички, толком не знающие, зачем они это делают. В пользу такого предположения свидетельствует историческая активность, ранее исходившая с IP-адреса злоумышленников. По данным NewSky ранее эти атакующие использовали nmap для сканирования сети и пытались применять два других эксплойта для компрометации систем: один для маршрутизаторов Zyxel, а второй для Apache Struts. Так что скрипт-кидди вполне вероятны.

Читайте также на АКБ другие новости про иранских хакеров:

Антивирусная пята: иранцы Achilles продают доступ к сетям Symantec и Comodo

Игра киберпрестолов XXI: Иранские хакеры планировали ад в небесах для Израиля

Игра киберпрестолов XIX: иранские хакеры APT-34 публично разгромлены неизвестным

Подписываемся, следим @CyberAgency

Related Post