Il bot Meow elimina i database Elasticsearch non protetti

22 Luglio 2020 - Tempo di lettura: 4 minuti

Un gruppo di specialisti della sicurezza informatica ha rilevato che dozzine di database esposti su Internet sono caduti vittima di "Meow", un attacco automatico che distrugge casualmente i dati. Apparentemente tutto sembra iniziato pochi giorni fa, quando è stata rilevata la perdita di più distribuzioni di Elasticsearch e Mongo DB; la cosa più strana è che gli aggressori non danno alcuna spiegazione su questa attività, non lasciano nemmeno note di riscatto, minacce o altro. 

I ricercatori hanno eseguito una scansione di Internet utilizzando il motore di ricerca Shodan, che hanno scoperto i database interessati da questo attacco. Sebbene gli esperti abbiano cercato di contattare gli amministratori dei database esposti, a volte è troppo tardi, poiché l'attacco "Meow" è già stato perpetrato.

Uno degli incidenti Meow più recenti è stato rilevato in un database Elasticsearch di proprietà di una società di servizi VPN; gli amministratori hanno affermato che non c'erano registri di attività recenti nel database, anche se il ricercatore Bob Diachenko, che ha scoperto che non erano abilitate misure di sicurezza, ha riportato il rischio di attacco.

Il database era protetto, sebbene alcuni giorni dopo gli amministratori disabilitassero nuovamente le misure di sicurezza. Alla fine, il database è stato attaccato con Meow e tutti i record memorizzati lì sono stati eliminati.

Nelle dichiarazioni successive, Diachenko ha osservato che non ci sono molte informazioni disponibili sugli aggressori e sulle loro motivazioni, sebbene crede che potrebbe essere uno script automatizzato in grado di sovrascrivere o addirittura distruggere del tutto un database.

Altri ricercatori che hanno osservato gli attacchi di Meow credono che questo potrebbe essere il lavoro di una sorta di vigilante che cerca di intimidire gli amministratori o di insegnare loro una lezione di sicurezza informatica.

D'altra parte, Victor Gevers, presidente dell'organizzazione non governativa GDI Foundation, ha anche avvistato questa variante di attacco, affermando che anche gli attori delle minacce stanno attaccando il maggior numero possibile di database MongoDB esposti. Gevers ha anche segnalato più incidenti negli ultimi giorni, avvisando gli amministratori.