Мяу-атака удалила уже 4300 баз данных

eltlslnqtiuah9mywdows-anl04.jpeg

Тысячи незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо объяснений, пишет Bleeping Computer.

Впервые атака была замечена на прошлой неделе, когда начали исчезать БД в инстансах Elasticsearch и MongoDB без каких-либо записок с пояснениями или требований выкупа. Затем атаки распространились на другие типы БД и на файловые системы, открытые для общего доступа в интернет.
Быстрый поиск в Shodan показывает тысячи БД, затронутых этой атакой.

gikhyyzfj-izyv_8vxezppjg-ge.png

Эти атаки подтолкнули исследователей к гонке на поиск открытых БД, чтобы предупредить владельцев до того, как БД будет уничтожена.

Одним из первых публично известных примеров атаки «Мяу» стала база данных Elasticsearch, принадлежащая гонконгскому VPN-провайдеру, который заявлял, что не хранит никаких логов, но по недосмотру выложил в интернет 1,2 терабайта конфиденциальных данных своих пользователей.

После обнаружения базы доступ к ней закрыли, но через пять дней она снова стала открытой. Во второй раз владельца уже никто не предупредил о неправильной настройке инстанса. Вместо этого базу «мяукнули» — и почти все записи были стерты.

f45c8fb9ae7ec3fc33a8859505e13f09.jpg

Пока нет никаких сведений о нападавшем или цели его действий. Специалист по безопасности Боб Дьяченко говорит, что атака выглядит как автоматический скрипт, который «перезаписывает или полностью уничтожает данные».

Предполагают, что атаки «Мяу» могут быть действиями некоего мстителя-одиночки, который пытается преподать сетевым администраторам урок безопасности, стирая незащищённые данные.

Исследователи говорят, что организатор атаки очевидно, атакует любую базу данных, которая небезопасна и доступна через интернет. После Elasticsearch и MongoDB были случаи удаления баз данных Cassandra, CouchDB, Redis, Hadoop, Jenkins, а также на сетевых устройствах хранения данных.

Согласно проекту LeakIX, индексирующему открытые сервисы, список жертв атак «Мяу» пополнили базы Apache ZooKeeper.

gbjoxbhbl-c2x_cy6zikvm-jnyw.png

По статистике, после 24 июля наблюдается некоторый спад атак, но на данную минуту «мяукнуто» 4304 базы данных.

Поиск в Shodan выдаёт и вовсе 10 814 баз данных с записями 'meow'. Более половины из них — это Elastic и MongoDB. Более 170 баз данных удалено у российских хостеров, таких как Mail.ru, Selectel, ЗАО «Хостинговые Телесистемы» и проч.

Хотя до сих пор неизвестно, почему неизвестный стирает базы данных, исследователь безопасности по имени Anthr@X обнаружил, что атаки проводятся через IP-адреса ProtonVPN.

n4nxccgakarugb1zgc_ral6lavm.png

yxfbke8dnubkyfzfjuqo991kob8.png
(увеличить)

Возможно, атака проводится в благих целях — научить девопсов и системных администраторов правилам безопасности, но в процессе могут быть безвозвратно «мяукнуты» ценные данные. До сих пор в открытом доступе лежит огромное количество баз данных, в том числе с очень чувствительной информацией.

Тот, кто стоит за атаками «Мяу», скорее всего, продолжит агрессивно уничтожать незащищённые базы. Всем администраторам следует проверить, что их данные надёжно защищены, а доступ ограничен соответствующим образом.

© Habrahabr.ru