Герой будущей книги взломал более 15 тыс. незащищенных серверов Elasticsearch

В течение двух последних недель некий киберпреступник взламывает незащищенные паролем и доступные через интернет серверы Elasticsearch и удаляет их содержимое. Для отвода глаз хакер оставляет название компании, занимающейся обеспечением кибербезопасности, пишет ZDNet.

Как сообщает исследователь безопасности Джон Уэтингтон (John Wethington), атаки начались 24 марта 2020 года и осуществляются с помощью скрипта для автоматизации, сканирующего интернет в поисках незащищенных серверов Elasticsearch. Обнаружив открытую базу данных, скрипт подключается к ней, пытается удалить содержимое и создает новый пустой индекс с названием nightlionsecurity.com. Однако скрипт, похоже, срабатывает не всегда, поскольку вышеупомянутый индекс добавляется также в БД с нетронутым контентом.

Основатель Night Lion Security Винни Троя (Vinny Troia) отрицает причастность своей компании к взломам. По словам Трои, данная операция может быть делом рук хакера, которого он выслеживает уже несколько лет и являющегося главным действующим лицом его будущей книги.

Если поначалу кампания и выглядела, как попытка подшутить над Night Lion Security, то теперь шутка перестала быть смешной. По данным поиска BinaryEdge, число серверов Elasticsearch с индексом nightlionsecurity.com уже перевалило за 15 тыс.

Троя сообщил о происходящем в правоохранительные органы. Команда безопасности Elastic также начала свое расследование.

В процессе изучения проблемы Уэтингтон обнаружил еще одну, не столь масштабную, кампанию по взлому серверов Elasticsearch, проводимую другим хакером. Злоумышленник получает доступ к незащищенным серверам и оставляет его владельцам сообщение о необходимости связаться с ним по электронной почте. На данный момент хакер взломал всего 40 серверов.