Глава компании Comparitech и известный ИБ-эксперт Боб Дьяченко (Bob Diachenko) обнаружил странную волну атак на незащищенные установки Elasticsearch и MongoDB.
Все началось с базы данных VPN-провайдера UFO VPN. Недавно мы рассказывали о том, что эта компания допустила массовую утечку пользовательских данных, так как хранила свои логи практически в открытом доступе. Хотя провайдер пытался переместить проблемную базу данных в другое место, обеспечить ей надлежащую защиту так и не удалось. Дьяченко продолжал наблюдать за ситуацией и заметил, что в начале текущей недели БД провайдера была уничтожена: хакеры стерли ее содержимое, оставив после себя только слово «мяу».
Дьяченко пишет, что такие «мяукающие» атаки появились несколько дней назад и представляют собой автоматизированный скрипт, который полностью перезаписывает или уничтожает данные в незащищенных БД.
Пострадавшая БД
В настоящее время, по данным Shodan, стоящие за этими атаками злоумышленники стерли более 1000 баз данных: пострадали установок ElasticSearch и более установок MongoDB. Кроме того исследователи заметили еще одну атаку, из-за которой были помечены строкой «university_cybersec_experiment». Судя по всему, в этом случае атакующие лишь предупреждают владельцев незащищенных БД о проблеме и демонстрируют, что файлы уязвимы для просмотра и удаления.
По словам Геверса, даже если стоящие за этими атаками хакеры стремятся преподать жестокий урок владельцам БД, ничего хорошего это не принесет. Эксперт говорит, что некоторые утечки данных могут проливать свет на очень скверные вещи, которые нужно предавать гласности, а их уничтожение не несет никакой пользы.
Все началось с базы данных VPN-провайдера UFO VPN. Недавно мы рассказывали о том, что эта компания допустила массовую утечку пользовательских данных, так как хранила свои логи практически в открытом доступе. Хотя провайдер пытался переместить проблемную базу данных в другое место, обеспечить ей надлежащую защиту так и не удалось. Дьяченко продолжал наблюдать за ситуацией и заметил, что в начале текущей недели БД провайдера была уничтожена: хакеры стерли ее содержимое, оставив после себя только слово «мяу».
Дьяченко пишет, что такие «мяукающие» атаки появились несколько дней назад и представляют собой автоматизированный скрипт, который полностью перезаписывает или уничтожает данные в незащищенных БД.
Пострадавшая БД
В настоящее время, по данным Shodan, стоящие за этими атаками злоумышленники стерли более 1000 баз данных: пострадали установок ElasticSearch и более установок MongoDB. Кроме того исследователи заметили еще одну атаку, из-за которой были помечены строкой «university_cybersec_experiment». Судя по всему, в этом случае атакующие лишь предупреждают владельцев незащищенных БД о проблеме и демонстрируют, что файлы уязвимы для просмотра и удаления.
Еще один известный специалист по безопасности, руководитель фонда GDI, Виктор Геверс (Victor Gevers), сообщил изданию , что тоже заметил данный тип атак. Он рассказал, что хакеры атакуют общедоступные базы данных MongoDB, стремясь нанести им как можно больший урон. Впервые Геверс обнаружил «мяукающие» атаки несколько дней назад, причем одна из них произошла всего через пару часов после того, как волонтеры GDI сообщили жертве о том, что ее БД незащищена должным образом.
По словам Геверса, даже если стоящие за этими атаками хакеры стремятся преподать жестокий урок владельцам БД, ничего хорошего это не принесет. Эксперт говорит, что некоторые утечки данных могут проливать свет на очень скверные вещи, которые нужно предавать гласности, а их уничтожение не несет никакой пользы.
