Аналитики из компании Trend Micro выяснили, что целью очередной вредоносной компании стали серверы Elasticsearch. Тем не менее, пока злоумышленники не выдвинули никаких требований и не украли сведения. Однако, они использовали мощности сервера для установки бэкдоров и создания крупного DDoS-ботнета. Помимо того, как сообщает специалист по информационной безопасности в банке Санкт-Петербург, это опасная ситуация к которой компания не была готова.
Как происходят нападения, специалист по информационной безопасности в банке Санкт-Петербург
Сами атаки начинаются с поиска доступных и не очень хорошо настроенных серверов и баз данных. Затем хакеры применяют поисковой запрос, который содержит Java-команды. Если все идет по плану, то в итоге с удаленного домена начинается загрузка вредоносного скрипта. При этом хакеры стараются регулярно менять домены. В итоге защита информации поступление Санкт-Петербург серверов оказывается на низком уровне.
Главная цель этого скрипта заключается в завершении работы брандмауэра. Также он удаляет вредоносные программы, использующиеся для майнинга, которые были запущены на сервере до этого. После этого с очередного вредоносного сайта идет загрузка второго скрипта.
Какие функции есть у скрипта
Как заявляет специалист по защите информации в телекоммуникационных системах и сетях Санкт-Петербург, он выполняет следующие функции:
- останавливает работу брандмауэра;
- занимается удалением конкурирующих файлов;
- удаляет файлы конфигурации;
- удаляет любые процессы по добыче криптовалюты.
Не совсем понятно, зачем скрипт пытается удалить следы предыдущего заражения. Однако, пока любой специалист по информационной безопасности средняя зарплата Санкт-Петербург может подтвердить, что компания Elasticsearch не может справиться с неожиданной и странной атакой.