Elasticsearch

Неизвестни изтриха данни от 15 000 сървъра на Elasticsearch

В края на март 2020 г. специалистът по информационна сигурност  Джон Уетингтън заяви пред репортери на ZDNet, че някой е стартирал мащабна кампания за взлом на лошо защитените сървъри на Elasticsearch. И така, неизвестен нападател нахлува в лошо защитени сървъри на Elasticsearch и се опитва да ги обезобрази или заличи цялото им съдържание. В същото време той се опитва да вмени вина за деянието върху американската компания за информационна сигурност Night Lion Security.

Първите атаки бяха забелязани на 24 март 2020 г. и изглежда, те са автоматизирани: скриптът сканира Интернет за несигурна Elasticsearch, свързва се с базата данни, опитва се да изтрие съдържанието им и след това създава нов празен индекс, наречен nightlionsecurity.com. По някаква причина атакуващият скрипт не работи във всички случаи, но индексът nightlionsecurity.com присъства дори в онези бази данни, в които съдържанието в крайна сметка е останало недокоснато. Поради разновидностите на този характер на данните, съхранявани на сървърите на Elasticsearch, експертите трудно намират точния брой на засегнатите системи.

Основателят на Night Lion Security Вини Троя отрича, че компанията му няма нещо общо с това, което се случва. В интервю за DataBreaches.net , 26 март 2020 г., Троя заяви, че според него тези атаки се извършват от хакер, когото той следи през последните години и които е предмет на бъдещата му книга.

Но ако на 26 март атаките все още изглеждаха като нечия шега, сега ситуацията видимо се влоши. Според търсачката BinaryEdge, в момента индексът nightlionsecurity.com присъства на приблизително 15 000 сървъра, докато в края на март има само 150. В същото време BinaryEdge общо „вижда“ само 34 500 сървъра Elasticsearch, достъпни от Интернет.

Сега Троя каза пред ZDNet, че вече е уведомил органите на реда за случващото се, както и самите журналисти се свързаха с екипа за сигурност на Elastic, който сега също изучава тези атаки. От своя страна, Джон Веттингтън е зает да съставя списък със сървъри, които бяха засегнати от атаките, и се опитва да идентифицира компании, които може да са имали прекъсвания на услугата.

Още по-лошо, докато проучва тази кампания, Vetington откри друг хакер, който също атакува несигурните сървъри на Elasticsearch. Този нападател оставя съобщение на сървърите, което информира, че сървърът е бил хакнат и насърчава собствениците му да се свържат с хакера по електронната поща. В момента това съобщение се намира на 40 сървъра.

Вашият коментар