03/04/20
В течение двух последних недель некий киберпреступник взламывает незащищенные паролем и доступные через интернет серверы Elasticsearch и удаляет их содержимое. Для отвода глаз хакер оставляет название компании, занимающейся обеспечением кибербезопасности, пишет ZDNet.
Как сообщает исследователь безопасности Джон Уэтингтон (John Wethington), атаки начались 24 марта 2020 года и осуществляются с помощью скрипта для автоматизации, сканирующего интернет в поисках незащищенных серверов Elasticsearch. Обнаружив открытую базу данных, скрипт подключается к ней, пытается удалить содержимое и создает новый пустой индекс с названием nightlionsecurity.com. Однако скрипт, похоже, срабатывает не всегда, поскольку вышеупомянутый индекс добавляется также в БД с нетронутым контентом.
Основатель Night Lion Security Винни Троя (Vinny Troia) отрицает причастность своей компании к взломам.
Если поначалу кампания и выглядела, как попытка подшутить над Night Lion Security, то теперь шутка перестала быть смешной. По данным поиска BinaryEdge, число серверов Elasticsearch с индексом nightlionsecurity.com уже перевалило за 15 тыс.
Троя сообщил о происходящем в правоохранительные органы. Команда безопасности Elastic также начала свое расследование.
В процессе изучения проблемы Уэтингтон обнаружил еще одну, не столь масштабную, кампанию по взлому серверов Elasticsearch, проводимую другим хакером. Злоумышленник получает доступ к незащищенным серверам и оставляет его владельцам сообщение о необходимости связаться с ним по электронной почте. На данный момент хакер взломал всего 40 серверов.
