Еще в конце марта 2020 года ИБ-специалист Джон Ветингтон сообщил журналистам издания ZDNet, что некто развернул масштабную кампанию по взлому плохо защищенных серверов Elasticsearch. Так, неизвестный злоумышленник взламывает плохо защищенные серверы Elasticsearch и пытается дефейснуть их или стереть все их содержимое. При этом вину за содеянное он пытается возложить на американскую ИБ-компанию Night Lion Security.
Первые атаки были замечены 24 марта 2020 года и, похоже, они автоматизированы: скрипт сканирует интернет в поисках незащищенных Elasticsearch, подключается к БД, пытается стереть их содержимое, а затем создает новый пустой индекс с названием nightlionsecurity.com. По какой-то причине атакующий скрипт срабатывает не во всех случаях, но индекс nightlionsecurity.com присутствует даже в тех БД, где контент в итоге остался нетронутым. Из-за изменчивой природы данных, хранящихся на серверах Elasticsearch, эксперты затрудняются определить точное количество пострадавших систем.
Основатель Night Lion Security Винни Тройя (Vinny Troia) отрицает, что его компания имеет какое-либо отношение к происходящему. В интервью DataBreaches.net, 26 марта 2020 года, Тройя заявил, что, по его мнению, эти атаки осуществляются хакером, которого он отслеживает последние годы и который является предметом его будущей книги.
Но если 26 марта атаки еще выглядели как чья-то шутка, то сейчас ситуация заметно ухудшилась. По данным поисковика BinaryEdge, в настоящее время индекс nightlionsecurity.com присутствует примерно на 15 000 серверах, тогда как в конце марта таковых насчитывалось лишь 150. При этом BinaryEdge в общей сложности «видит» лишь 34 500 серверов Elasticsearch, доступных из интернета.
Теперь Тройя сообщил ZDNet, что уже уведомил правоохранительные органы о происходящем.Также сами журналисты связались с командой безопасности Elastic, которая теперь тоже изучает эти атаки. В свою очередь Джон Ветингтон занят составлением списка серверов, на которые повлияли атаки, и пытается определить компании, которые из-за этого могли сталкиваться со сбоями в работе служб.
Хуже того, изучая эту кампанию, Ветингтон обнаружил еще одного хакера, который тоже атакует незащищенные серверы Elasticsearch. Этот злоумышленник оставляет на серверах послание, которое информирует, что сервер был взломан, и призывает его владельцев связаться с хакером по электронной почте. В настоящее время это сообщение обнаружено на 40 серверах.