根据安全人员的最新调查结果,在过去的两周内,黑客侵入了大量暴露在互联网上且没有密码保护的Elasticsearch服务器,并且尝试删除其中存储的数据。在实施攻击的过程中,网络犯罪分子还留下了一家网络安全公司的名字,企图让别人替他背锅。根据英国安全研究专家约翰·韦辛顿(JohnWethington)披露的信息,在此次攻击中,第一波入侵攻击开始于2020年3月24日左右,约翰·韦辛顿是第一批发现此次攻击并协助的安全研究人员之一ZDNet及其安全覆盖范围。研究人员表示,在此次活动中,攻击者似乎借助一系列自动脚本执行了攻击,这些脚本扫描互联网以查找暴露于外界且不受任何密码保护的ElasticSearch系统。一旦自动脚本扫描到这些未受保护的系统,它就会尝试连接到其后端数据库,尝试删除存储在那里的数据,最后创建一个名为“nightlionsecurity.com”的新空白索引。不过这一系列的攻击脚本似乎并不适用于所有的攻击场景,因为如果数据库本身存在一个数据项或索引“nightlionsecurity.com”,那么这个数据或索引是不会发生变化的。然而,在许多Elasticsearch服务器上,数据删除非常容易检测到并且很明显,因为日志条目会直接在事件发生的日期“截断”,即3月24日、25日、26日等。由于存储在Elasticsearch服务器中的数据具有高度易变性,因此很难量化删除数据的系统的确切数量。夜狮安全否认与此事件有任何关联就在事件曝光的次日,我们还试图联系夜狮安全网络安全公司创始人VinnyTroia,而维尼特罗亚本人也曾表示否认他的公司卷入了持续的网络攻击。PoohTroya在3月26日接受DataBreaches.net采访时表示,他认为这次攻击是由他过去几年一直跟踪的一名黑客实施的,这名黑客也是他们计划稍后揭露的网络犯罪分子。事实上,一开始,3月26日的攻击看起来像是一个恶作剧,但随后的一系列攻击已经证实这是一起网络犯罪。根据BinaryEdge的一项调查,当我们第一次联系网络安全公司NightLionSecurity的创始人VinnyTroia时,只有大约150台Elasticsearch服务器遭到入侵,但到目前为止,包含“nightlionsecurity.com”索引的Elasticsearch服务器的数量已经减少上升到超过15,000。被破坏的Elasticsearch服务器数量已经非常多。考虑到当前的安全形势不容乐观,BinaryEdge也选择直接将暴露在公共互联网上的34500多台不安全的Elasticsearch服务器暴露出来。VinnieTroya表示,他也已经向相关执法机构报告了袭击的细节。为此,ZDNet还专门联系了Elastic安全团队,该团队目前正在分析调查越来越多的受损Elasticsearch服务器。JohnWhittington目前也在编制一份受此次攻击影响的服务器地址列表,并试图找出可能中断服务的相关公司。此外,JohnWhittington在调查这次攻击的同时,还发现了另一个同样针对Elasticsearch服务器的恶意攻击者。当时,攻击者正在入侵大量不安全的Elasticsearch服务器,并留下消息告诉目标用户他们已被入侵,并敦促他们通过电子邮件与攻击者联系。目前只有40多台服务器找到了攻击者留下的信息,可见这次攻击的规模并不是很大。然而,这并不是第一次发生对Elasticsearch服务器或数据的破坏性攻击。早在2017年第一季度,多个网络犯罪组织就对包括Elasticsearch在内的各类数据库服务器进行了数据勒索攻击。仅2017年就有数千台Elasticsearch服务器的数据被非法删除,攻击者会留下勒索信息,要求目标用户或数据拥有者支付赎金请求以恢复数据。可悲的是,这些受害者并不知道攻击者从未备份过非法删除的数据,因为被盗数据是攻击者直接删除的。
