Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года.

По словам эксперта, первые инциденты датированы 12 июня. Взломщики сканируют Интернет в поисках приложений dnaLIMS, которые представляют собой веб-интерфейс системы для работы с ДНК. Еще три года назад специалисты обнаружили в этой программе уязвимость исполнения стороннего кода (CVE-2017-6526), однако разработчики так и не исправили баг. Более того, они явно не считают кражу медицинских материалов серьезной угрозой: в 2016 году создатели dnaLIMS указывали на невозможность расплатиться расшифрованной ДНК в магазине.

При обнаружении незащищенного приложения злоумышленники устанавливают оболочку, которая выполняет роль бэкдора. После этого им открывается практически неограниченный доступ к системе — они могут отправлять веб-серверу команды и выгружать с него данные, включая материалы пациентов. Исследователь указывает, что такая информация может пользоваться спросом на черном рынке, особенно если преступникам удастся деанонимизировать ее.

Взломщики также могут использовать скомпрометированные системы для создания DDoS-ботнетов или добычи криптовалют. В пользу этой версии говорит тот факт, что с использованного в атаках IP-адреса ранее уже шли сканирования по другим известным уязвимостям.

Так, эти же преступники ранее собирали информацию о непропатченных серверах Apache Struts (CVE-2017-5638) и роутерах ZyXel (CVE-2017-6884). Оба бага находят применение в атаках многих IoT-ботнетов, включая такие масштабные зловреды, как Mirai и Gafgyt.

В то же время комментаторы отмечают, что в случае dnaLIMS малое количество уязвимых хостов не позволит взломщикам нанести серьезный вред. По их мнению, кампанию могли организовать неопытные киберпреступники, которые вслепую используют найденные в Интернете эксплойты.

Ранее эксперты предупреждали о серьезных проблемах безопасности в умном медицинском оборудовании. Угрозу представляют не только ошибки кода, но и сторонние факторы вроде слишком информативных системных сообщений.

Категории: Главное, Уязвимости, Хакеры