Meow! Attacken auf Elasticsearch- und MongoDB-Server, Motiv unbekannt
Angreifer fahren derzeit ihre Krallen gegen schlecht abgesicherte Datenbankserver aus. Sie hinterlassen dort nichts als Leere und einen tierischen GruĂź.
Der Sicherheitsforscher Bob Diachenko und das von ihm geleitete Security Research Team des britischen Unternehmens Comparitech beobachten derzeit aktive Angriffe auf Elasticsearch- und MongoDB-Datenbanken weltweit. Gelingt den unbekannten Angreifern der Einbruch, löschen sie den gesamten Datenbankinhalt und ersetzen ihn durch Kombinationen des Textstrings "meow" mit Zufallszahlen.
Eine Suche nach "meow" mit der IoT-Suchmaschine Shodan liefert derzeit mehr als 1700 betroffene Elasticsearch- und fast 700 MongoDB-Installationen weltweit – Tendenz steigend. Mehr als 130 Elasticsearch-Suchtreffer entfallen auf Deutschland.
Angriffsmotiv noch unklar
Wie der "Meow"-Angriff im Einzelnen vonstatten geht, beschreibt Diachenko nicht. Gegenüber Ars Technica deutet er allerdings an, dass die Angreifer gezielt nach Datenbanken suchen, die ohne Zugangsdaten modifizierbar sind, um diese anschließend mit Hilfe zu diesem Zweck geschriebener Skripte zu löschen.
Dass "Meow" Elasticsearch und MongoDB im Visier hat, ĂĽberrascht in diesem Zusammenhang nicht, denn vor allem MongoDB-Instanzen, die ohne Passwortschutz aus dem Internet erreichbar sind, sind seit Jahren ein beliebtes Angriffsziel. Erst kĂĽrzlich wurden im Zuge von Ransomware-Angriffen rund 22.900 Datenbanken gekapert:
Anders als im Falle solcher Lösegeld-Erpressungen ist das Motiv hinter den "Meow"-Botangriffen allerdings noch völlig unklar. Gegenüber Ars Technica sagte Diachenko, er gehe davon aus, dass die Drahtzieher hinter Meow und ähnlichen Angriffen "aus Spaß" handelten – "weil sie es können und weil es wirklich einfach zu machen ist." Unternehmen, die bislang fahrlässig mit eigenen und Kundendaten umgehen, sollten dies als Weckruf verstehen.
Ars Technica erwähnt noch weitere, derzeit aktive Angriffe allerdings geringeren Umfangs auf MongoDB, Elasticsearch und Apache Cassandra. Auf insgesamt rund 600 Servern seien die ursprünglichen Inhalte mit dem String "university_cybersec_experiment" überschrieben worden.
UFO VPN-Leak als Ausgangspunkt
Diachenkos Vorwurf der Fahrlässigkeit lässt sich auch auf den VPN-Provider "UFO VPN" anwenden. Das Comparitech-Team war erst kürzlich im Netz auf eine Elasticsearch-Datenbank gestoßen, die sensible Daten von mehreren Millionen Nutzern von UFO VPN und verwandter VPN-Software enthielt.
Tatsächlich war dieser Fund der Ausgangspunkt für die "Meow"-Entdeckung. Zwar schien es zunächst, als sei die UFO VPN-Datenbank abgesichert worden; mittlerweile hat sich allerdings herausgestellt, dass der VPN-Anbieter bei der Absicherung erneut schlampte. Als eines der wohl ersten Angriffsziele fielen die Daten im nächsten Schritt offenbar "Meow" zum Opfer.
In diesem konkreten Fall könnte man die Datenlöschung durch "Meow" fast als glückliche Fügung für die betroffenen VPN-Nutzer betrachten. Diese sollten sich nun – sofern noch nicht geschehen – nach einem Anbieter umschauen, der (hoffentlich) verantwortungsvoller mit ihren Daten umgeht.
(ovw)