Эксперты Cisco Talos сообщили о новых атаках на незащищенные кластеры Elasticsearch. Злоумышленники используют уязвимости 2014-2015 годов, чтобы распространять криптомайнеры и другое вредоносное ПО.

Система Elasticsearch представляет собой полнотекстовый поисковый движок с открытым кодом. Компании используют его для работы с большими массивами данных и бизнес-аналитики. На сегодняшний день Elasticsearch является самым популярным решением в своем классе.

Серия атак направлена на системы версий 1.4.2 и ниже (самая младшая вышла в декабре 2014 года). Взломщики применяют уязвимости CVE-2014-3120 и CVE-2015-1427, которые позволяют выполнять сторонние скрипты с помощью специфических поисковых запросов.

По информации аналитиков, в кампании участвуют шесть разных злоумышленников. Самый активный из них эксплуатирует только уязвимость 2015 года, загружая своим жертвам вредоносный bash-скрипт. Для этого взломщик использует утилиту с открытым кодом Wget и обфусцированный Java-код. По мнению исследователей, такой набор говорит о стремлении максимально расширить круг целевых платформ.

После установки bash-скрипт отключает защитные функции системы и удаляет постороннее ПО — в первую очередь, майнеры конкурентов. Далее он сохраняет свой RSA-ключ в доверенном списке и загружает криптоджекер. Затем устанавливаются cron-скрипты, которые закрепляют присутствие зловреда в пораженной системе.

На последнем этапе скрипт загружает исполняемый ELF-файл (Executable and Linkable Format) с эксплойтами к нескольким другим продуктам, таким как:

  • система управления веб-контентом Drupal (CVE-2018-7600);
  • сервер приложений Oracle WebLogic (CVE-2017-10271);
  • репозиторий Spring Data Commons (CVE-2018-1273).

Второй злоумышленник эксплуатирует брешь 2014 года, распространяя ПО для проведения DDoS-атак BillGates. Аналитики отмечают, что такое поведение выделяет взломщика, поскольку большинство киберпреступников в последнее время переключились на добычу криптовалюты.

Цели остальных участников атак пока остаются неизвестными. Три преступника оставляют на взломанных серверах метки, возможно, чтобы вернуться к ним в будущем. Еще один злоумышленник размещает загрузчик, который обращается к некому HTTP-серверу за отсутствующим на нем файлом. Аналитики установили, что это же хранилище содержит несколько вариантов DDoS-тулкита Spike.

Хотя исследователям не удалось установить личности организаторов кампании, косвенные признаки указывают на китайских киберпреступников. Эксперты пришли к такому выводу, связав одну из применяемых команд с профилем пользователя в соцсети QQ. На его странице специалисты увидели несколько постов по вопросам ИБ и взлома, а также ссылку на личный сайт с публикациями о программировании.

В дальнейшем аналитики обнаружили на китайском хакерском форуме еще один профиль, который может принадлежать тому же пользователю. Владелец этой учетной записи размещал посты об эксплойтах и вредоносном ПО. Тем не менее, на данный момент исследователи воздерживаются от конкретных заключений.

По словам экспертов, продолжение атак может привести к серьезным последствиям — системы Elasticsearch работают с конфиденциальными бизнес-данными, компрометация которых грозит материальными и репутационными потерями. Ранее взлом подобного кластера привел к утечке базы Национальной футбольной лиги США. Преступник пытался получить выкуп за украденную базу, но специалисты смогли самостоятельно восстановить безопасность информации. В другом случае на тысячах серверов Elasticsearch обнаружился вредонос для POS-терминалов. Все они входили в состав большого ботнета и выполняли те или иные функции управления этой сетью.

Категории: Уязвимости, Хакеры