Кто сказал «Мяу»?
Служба реагирования на компьютерные инциденты сообщила об обнаружении фактов несанкционированного доступа к базам данных, принадлежащим клиентам крупных хостинг-провайдеров РК.
Злоумышленникам удалось получить доступ к базам данных, находящимся в открытом доступе, и удалить записи в них. В качестве «визитной карточки» киберпреступники оставили в коде слово «meow».
Стоит отметить, что первые такие атаки были замечены на прошлой неделе — тогда начали исчезать базы данных в Elasticsearch и MongoDB, причем злоумышленники не оставляли каких-либо пояснений или требований о выкупе. На месте удаленных сведений появлялись лишь строчки случайных цифр и слово «meow». Спустя несколько дней атаки распространились и на другие типы БД, а также на файловые системы, открытые для общего доступа.
«Что такое Мяу-атака? Заказчик размещает оборудование в Дата-центре и устанавливает там программное обеспечение, например, какую-либо базу данных. И на этом программном обеспечении оставляет стандартные пароли, либо вообще их не использует. Получается, что доступ к этой базе данных открыт для любого человека в мире, — говорит Никита Красулин, глава ТОО „Интернет-компания PS“. — Здесь мы видим ошибку на стороне заказчика, а не хостинг-провайдера, у которого эта база размещена. Видимо, скрипт, который сканирует интернет во всем мире и ищет базы данных с открытыми портами и паролями, нашел их и в Казахстане. Можно сказать, что это своеобразный урок админам, чтобы в будущем они были более внимательны».
Проблема состоит в том, что в процессе этих «уроков» могут быть удалены ценные данные. По словам специалистов, в настоящее время в открытом доступе все еще лежит огромное количество баз данных, в том числе — и с очень «чувствительной» информацией.
«Что касается инфраструктуры компании PS, она никак не была затронута и к инциденту отношения не имела. Это произошло на инфраструктуре у заказчиков, которые администрируют базы данных самостоятельно. По аналогии можно привести пример с модемами. Когда мы подключаемся к интернет-провайдеру, он выдает модем, а заказчик оставляет там пароль и логин admin/ admin. Понятно, что интернет-провайдер не виноват, когда к этому модему начинают подключаться соседи», — пояснил Никита Красулин.
Эксперты говорят, что атаки выглядят как автоматический скрипт, который перезаписывает или полностью уничтожает данные. По их словам, поиск в Shodan выдает более 10 тысяч «мяукнутых» баз данных по всему миру. Несколько сотен БД удалено и у российских хостеров. В Казахстане — 41.
О ситуации со своими клиентами рассказал Денис Сухачев, владелец ТОО «Компания Hoster.KZ»: «У нас „задело“ двоих клиентов. Они арендуют выделенный сервер и виртуальный выделенный сервер — VPS. За настройкой и поддержкой этих серверов клиенты следят самостоятельно. По идее, их администраторы должны были выполнить настройки — ограничить доступ к базам данных из интернета. Мы получили рассылку от KZ-CERT и передали информацию клиентам. Один клиент отреагировал сразу, от второго ждем ответа».
Самый главный совет, который дают эксперты администраторам — следует проверить, что данные надежно защищены, а доступ к БД ограничен соответствующим образом.
«Принимая во внимание то, что данная атака осуществляется на базы данных с открытым доступом, Служба KZ-CERT настоятельно рекомендует администраторам проверять защищенность данных, ограничивать доступ (настраивать авторизацию), а также систематически проводить резервное копирование», — заявили в РГП «Государственная техническая служба».