Jump to content
Sign in to follow this  
mr.save

Неизвестные дефейснули и стерли данные с 15 000 серверов Elasticsearch

Recommended Posts

Еще в конце марта 2020 года ИБ-специалист Джон Ветингтон сообщил журналистам издания ZDNet, что некто развернул масштабную кампанию по взлому плохо защищенных серверов Elasticsearch. Так, неизвестный злоумышленник взламывает плохо защищенные серверы Elasticsearch и пытается дефейснуть их или стереть все их содержимое. При этом вину за содеянное он пытается возложить на американскую ИБ-компанию Night Lion Security.

Первые атаки были замечены 24 марта 2020 года и, похоже, они автоматизированы: скрипт сканирует интернет в поисках незащищенных Elasticsearch, подключается к БД, пытается стереть их содержимое, а затем создает новый пустой индекс с названием nightlionsecurity.com. По какой-то причине атакующий скрипт срабатывает не во всех случаях, но индекс nightlionsecurity.com присутствует даже в тех БД, где контент в итоге остался нетронутым. Из-за изменчивой природы данных, хранящихся на серверах Elasticsearch, эксперты затрудняются определить точное количество пострадавших систем.

Основатель Night Lion Security Винни Тройя (Vinny Troia) отрицает, что его компания имеет какое-либо отношение к происходящему. В интервью DataBreaches.net, 26 марта 2020 года, Тройя заявил, что, по его мнению, эти атаки осуществляются хакером, которого он отслеживает  последние годы и который является предметом его будущей книги.

be-es-instances.png.1f85f80f070e4018a350055a2ba462b5.png

Но если 26 марта атаки еще выглядели как чья-то шутка, то сейчас ситуация заметно ухудшилась. По данным поисковика BinaryEdge, в настоящее время индекс nightlionsecurity.com присутствует примерно на 15 000 серверах, тогда как в конце марта таковых насчитывалось лишь 150. При этом BinaryEdge в общей сложности «видит» лишь 34 500 серверов Elasticsearch, доступных из интернета.

Теперь Тройя сообщил ZDNet, что уже уведомил правоохранительные органы о происходящем.Также сами журналисты связались с командой безопасности Elastic, которая теперь тоже изучает эти атаки. В свою очередь Джон Ветингтон занят составлением списка серверов, на которые повлияли атаки, и пытается определить компании, которые из-за этого могли сталкиваться со сбоями в работе служб.

Хуже того, изучая эту кампанию, Ветингтон обнаружил еще одного хакера, который тоже атакует  незащищенные серверы Elasticsearch. Этот злоумышленник оставляет на серверах послание, которое информирует, что сервер был взломан, и призывает его владельцев связаться с хакером по электронной почте. В настоящее время это сообщение обнаружено на 40 серверах.

be-es-instance-2.png.d23e96b68d40b29000eeab0331dbdb5f.png

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...