Consultant d'entreprise
Un consultant ERP travaille dans une SSII, un cabinet conseil ou chez un éditeur
Les experts en cybersécurité ont mis à jour des attaques de hackers datant de mai 2018 et ciblant les machines Windows exécutant des serveurs MS-SQL pour déployer des portes dérobées et d'autres types de logiciels malveillants, y compris des outils d'accès à distance (RAT) et des cryptomineurs.
Appelée « Vollgar » d'après la crypto-monnaie Vollar qu'elle exploite et son modus operandi vulgaire, les experts de Guardicore Labs disent que l'attaque utilise la brutal force pour forcer les mots de passe et violer les serveurs Microsoft SQL avec identifiants peu sécurisés et exposés à Internet. Voilà qui donnera du fil à retordre aux personnes capables de piloter un projet qui ont identifié les attaques.
Les serveurs Microsoft SQL sur lesquels tournent des ERP sont victimes d'attaques en masse.
Les experts de Guardicore Labs affirment que les attaquants ont réussi à infecter quotidiennement près de 2 000 à 3 000 serveurs de base de données au cours des dernières semaines, avec des victimes potentielles appartenant aux secteurs de la santé, de l'aviation, des technologies de l'information et des télécommunications et de l'enseignement supérieur en Chine, en Inde, aux États-Unis, en Corée du Sud et en Inde. Apparemment aucune entreprise du BTP n'a eu à déplorer de problème (on se souvient que Bouygues Construction avait été attaquée en janvier 2020).
Heureusement pour les personnes concernées, les experts ont également publié un script pour permettre aux administrateurs système de détecter si l'un de leurs serveurs Windows MS-SQL a été compromis par cette menace particulière.
L'attaque de Vollgar commence par des tentatives de connexion par force brute sur les serveurs MS-SQL, qui, en cas de succès, permettent aux cybercriminels d'exécuter un certain nombre de modifications de configuration pour exécuter des commandes MS-SQL malveillantes et télécharger des fichiers binaires malveillants.
Les hackers vérifient que certaines classes COM sont disponibles - WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0 et Windows Script Host Object Model (wshom). Ces classes prennent en charge les scripts WMI et l'exécution de commandes via MS-SQL, qui sont utilisés plus tard pour télécharger le fichier binaire initial du logiciel malveillant.
Outre vérifier que les exécutables cmd.exe et ftp.exe disposent des autorisations d'exécution nécessaires, l'opérateur derrière Vollgar crée également de nouveaux utilisateurs en backdoor dans la base de données MS-SQL ainsi que sur le système d'exploitation avec des privilèges élevés. Une fois la configuration initiale terminée, l'attaque continue en créant des scripts de téléchargement (deux scripts VBS et un script FTP) qui sont exécutés « plusieurs fois », chaque fois avec un emplacement cible différent sur le système de fichiers local pour éviter d'éventuelles pannes.
L'une des charges utiles initiales, nommée SQLAGENTIDC.exe ou SQLAGENTVDC.exe, commence par tuer une longue liste de processus dans le but de sécuriser la quantité maximale de ressources système ainsi que d'éliminer l'éventuelle activité d'autres groupes de hackers et de supprimer leur présence de la machine infectée.
De plus Vollgar agit comme un dropper pour différents RAT et un crypto-mineur basé sur XMRig qui exploite Monero et une crypto-monnaie alternative appelée VDS, Vollar ou V-Dimension.
Guardicore a déclaré que les hackers maintenaient toute leur infrastructure sur des machines compromises, y compris son principal serveur de commande et de contrôle (appelé C&C dans le jargon de la cybersécurité) situé en Chine, qui, ironiquement, a été identifié comme compromis par plusieurs groupes de hackers. Parmi les fichiers trouvés sur le serveur de C&C figurait l'outil d'attaque MS-SQL, responsable de l'analyse des plages IP, du forçage brutal de la base de données ciblée et de l'exécution de commandes à distance.
En outre deux programmes C&C avec interface graphique en chinois ont été trouvés, un outil pour modifier les valeurs de hachage des fichiers, un serveur de fichiers HTTP portable (HFS), un serveur FTP Serv-U et une copie de l'exécutable mstsc.exe (Microsoft Terminal Services Client) utilisé pour se connecter aux victimes via RDP.
Lorsqu'un client Windows infecté envoie une requête ping au serveur C2, ce dernier reçoit également une variété de détails sur la machine, tels que son adresse IP publique, son emplacement, la version du système d'exploitation, le nom de l'ordinateur et le modèle de processeur. Rappelons que le niveau d'audit C2 inclus dans SQL Server se paramètre dans les propriétés du serveur SQL dans Enterprise Manager ou dans SQL Server Management Studio. Guardicore a déclaré que les deux programmes C2 installés sur le serveur basé en Chine ont été développés par deux fournisseurs différents, et qu'il existe des similitudes dans leurs capacités de contrôle à distance.
Le contrôle à distance mis en place par les hackers vise le téléchargement de fichiers, l'installation de nouveaux services Windows, l'enregistrement des frappes de clavier (keylogging), la capture d'écran, l'activation de la caméra et du microphone et même lancer une attaque par DDoS (déni de service distribué).
Environ un demi-million de machines exécutant le service de base de données MS-SQL auraient été touchées par les hackers. Avis aux éditeurs ERP, cela indique bien que les hackers s'en prennent aux serveurs de base de données mal protégés pour tenter de siphonner des informations sensibles. Il est essentiel que les serveurs MS-SQL exposés à Internet soient sécurisés avec des identifiants vraiment solides. ET je dirais même, pas uniquement les machines sous SQL Server mais aussi les machines Oracle.
Ce qui rend ces serveurs de base de données attrayants pour les hackers, mis à part leur puissance CPU, c'est la quantité énorme de données qu'ils détiennent. C'est le propre d'une base de données, avec toutes les informations de gestion et comptabilité des entreprises. Cela n'empêche pas que ces machines peuvent parfois aussi stocker des informations personnelles telles que des noms d'utilisateur, des mots de passe, des numéros de carte de crédit, etc. qui peuvent tomber entre les mains des hackers.
Aix en Provence, le 31 mars 2020
Michel Campillo, consultant d'entreprise
Logiciels de Gestion
☎ 06 89 56 58 18
✉ contact par email
➽ Autres billets pour consultants ERP travaillant sur des bases de données Oracle: Comment changer la taille de police dans Oracle SQL Developer?, Configuration de SQL Developer pour MySQL.
Ce post vous a aidé? Alors partagez-le avec d'autres utilisateurs en cliquant sur les boutons ci-dessous:
Merci de vos partages! Maintenant à vous de commenter. 😍
🎯 Autres options: un logiciel ERP travaux publics et un logiciel de gestion BTP.
✇ En télétravail depuis le 29 octobre (confinement Covid-19)
Copyright © 2004-2021 Michel Campillo, tous droits réservés