Специалисты Kromtech Security Center рассказали о проведении интересного исследования. Они искали неправильно сконфигурированные установки ElasticSearch, и обнаружили более 15 000 таковых. При этом выяснилось, что более 4000 серверов уже скомпрометировали злоумышленники, и теперь там размещается инфраструктурf малвари AlinaPOS и JackPOS.

Обнаружить серверы, «смотрящие» в интернет без всякой защиты, удалось посредством простого сканирования. После этого исследователи обратились к поисковику Shodan и с его помощью идентифицировали 15 000 таких неправильно настроенных инстансов. Как оказалось, более 4000 из них использовались для размещения командной инфраструктуры PoS-вредоносов. Хотя саму по себе малварь AlinaPOS и JackPOS нельзя назвать новой (вредоносы хорошо известны с 2012 и 2014 годов), ранее ИБ-специалисты еще не сталкивались с использованием ElasticSearch для сокрытия управляющих серверов.

Исследователи пишут, что большинство зараженных серверов находятся в США и 99% расположены в облаках AWS. «Почему Amazon? Потому что Amazon Web Services предлагает бесплатный t2 micro (EC2) и до 10 Гб пространства. Но в то же время t2 micro допускает установку только ES 1.5.2 и 2.3.2», — объясняет специалист Kromtech Security Center Боб Дьяченко (Bob Diachenko).

Действительно, 52% из 4000 зараженных установок работают с ElasticSearch 1.5.2, а еще 47% используют ElasticSearch 2.3.2. При этом исследователи пишут, что многие установки были заражены еще в 2016 году, хотя наиболее «свежие» заражения датированы августом 2017 года, то есть вредоносные кампании до сих пор активны. По данным специалистов, на серверах были обнаружены разные версии одних и тех же PoS-вредоносов, а это свидетельствует о том, что их компрометировали несколько раз.

Исследователи полагают, что злоумышленники, управляющие AlinaPOS и JackPOS, давно поставили на поток и автоматизировали поиск уязвимых установок ElasticSearch. Так, специалисты запустили несколько собственных ханипотов с эмуляциями ElasticSearch и вскоре зафиксировали несколько сканирований и попыток логина, осуществлявшихся из Китая.

Эксперты пишут, что уже пытались связаться с Amazon, но пока не получили никакого ответа.



3 комментария

  1. Il

    15.09.2017 at 22:08

    А зачем серваки эластика торчат наружу, не пойму.

Оставить мнение