Хакер #305. Многошаговые SQL-инъекции
Глава компании Comparitech и известный ИБ-эксперт Боб Дьяченко (Bob Diachenko) обнаружил странную волну атак на незащищенные установки Elasticsearch и MongoDB.
Все началось с базы данных VPN-провайдера UFO VPN. Недавно мы рассказывали о том, что эта компания допустила массовую утечку пользовательских данных, так как хранила свои логи практически в открытом доступе. Хотя провайдер пытался переместить проблемную базу данных в другое место, обеспечить ей надлежащую защиту так и не удалось. Дьяченко продолжал наблюдать за ситуацией и заметил, что в начале текущей недели БД провайдера была уничтожена: хакеры стерли ее содержимое, оставив после себя только слово «мяу».
[UFO VPN STORY UPDATE] After the exposed data had been secured, it resurfaced a second time on July 20 at a different IP address - all of the records destroyed now by a new “Meow” bot attack. pic.twitter.com/YbQCSKBOK9
— Bob Diachenko (@MayhemDayOne) July 20, 2020
Дьяченко пишет, что такие «мяукающие» атаки появились несколько дней назад и представляют собой автоматизированный скрипт, который полностью перезаписывает или уничтожает данные в незащищенных БД.
В настоящее время, по данным Shodan, стоящие за этими атаками злоумышленники стерли более 1000 баз данных: пострадали 1337 установок ElasticSearch и более 370 установок MongoDB. Кроме того исследователи заметили еще одну атаку, из-за которой 616 файлов ElasticSearch, MongoDB и Cassandra были помечены строкой «university_cybersec_experiment». Судя по всему, в этом случае атакующие лишь предупреждают владельцев незащищенных БД о проблеме и демонстрируют, что файлы уязвимы для просмотра и удаления.
«Думаю, в большинстве случаев злоумышленники, стоящие за атаками, делают это просто ради прикола, потому что могут и потому что это очень просто, — говорит Дьяченко. — В общем, это очередной тревожный сигнал для отрасли и компаний, которые игнорируют цифровую гигиену, а в итоге теряют свои данные и данные клиентов в мгновение ока».
Еще один известный специалист по безопасности, руководитель фонда GDI, Виктор Геверс (Victor Gevers), сообщил изданию Bleeping Computer, что тоже заметил данный тип атак. Он рассказал, что хакеры атакуют общедоступные базы данных MongoDB, стремясь нанести им как можно больший урон. Впервые Геверс обнаружил «мяукающие» атаки несколько дней назад, причем одна из них произошла всего через пару часов после того, как волонтеры GDI сообщили жертве о том, что ее БД незащищена должным образом.
По словам Геверса, даже если стоящие за этими атаками хакеры стремятся преподать жестокий урок владельцам БД, ничего хорошего это не принесет. Эксперт говорит, что некоторые утечки данных могут проливать свет на очень скверные вещи, которые нужно предавать гласности, а их уничтожение не несет никакой пользы.