Спецпроекты

Таинственные хакеры с чувством юмора по неведомым причинам массово уничтожают базы данных

2979
Безопасность

Вредоносный скрипт заменяет все индексы в общедоступных базах данных Elasticserch и MongoDB на случайный набор символов со словом Meow в конце. Источник атак не установлен.

Кто сказал «мяу»

Множество незащищенных баз данных Elasticsearch и MongoDB пали жертвой новой разновидности кибератаки с характерным названием Meow («Мяу»). Кто стоит за этими инцидентами и зачем это делается, остается неизвестным. Базы данных уничтожаются беспорядочно, никаких сообщений их владельцам злоумышленники не передают.

Суть атаки проста: вредоносный скрипт подменяет все индексы в базе данных с виду случайным набором символов, к которым в конце приписывается meow. Тем самым данные, хранящиеся в базе, уничтожаются.

Используя поисковик Shodan, эксперты установили, что уже несколько десятков баз данных были уничтожены таким образом.

haker600.jpg
Неизвестные уничтожают незащищенные базы данных с помощью «мяуканья»

По сведениям Bleeping Computer, исследователи безопасности сейчас активно ищут уязвимые базы данных и пытаются связаться с их операторами — до того, как случится очередная атака.

Храните логи надежнее

Среди пострадавших — база данных VPN-провайдера из Гонконга UFO VPN, который заявлял, что не хранит у себя логи пользовательских сессий. В реальности, как выяснил эксперт по информационной безопасности Боб Дьяченко (Bob Diachenko), логи все же хранились, причем содержали критически важные данные, вплоть до паролей в plaintext и IP-адресов. И все это лежало в незащищенной базе данных. После публикации Дьяченко ее ненадолго убрали из Сети, но затем она снова появилась — уже по другому IP-адресу, и снова без какой-либо защиты. И в тот же день, 20 июля 2020 г. база была уничтожена в результате meow-атаки.

Издание Bleeping Computer предположило, что за атаками стоит некий вигилант, который таким образом пытается «преподать урок» операторам незащищенных баз. Новости об утечках из баз данных Elasticsearch поступают регулярно, и невзирая на обилие доступных операторам таких баз средств защиты, очень часто эти базы остаются общедоступными. Хотя мало-помалу ситуация исправляется.

«Если это действительно работа “супернегероя”, то, несмотря на его кажущимися благими намерения, вреда от подобных атак может быть больше, чем пользы: от уничтожения данных могут пострадать люди, которые не имеют к ошибкам операторов баз данных никакого отношения, — указывает Дмитрий Залманов, эксперт по информационной безопасности компании SEC Consult Services. — И даже если в дальнейшем это заставит владельцев баз данных внимательнее относиться к их защите, пострадавшим сейчас это никак не поможет».