ΑρχικήinvestigationsMongoDB: Big data εκτεθειμένα στον Ελληνικό κυβερνοχώρο

MongoDB: Big data εκτεθειμένα στον Ελληνικό κυβερνοχώρο

Τα τελευταία 24ώρα έχουν αυξηθεί παγκοσμίως τα κρούσματα επιθέσεων από hackers και κυβερνοεγκληματίες σε πάνω από 10000 συστήματα που χρησιμοποιούν το λογισμικό βάσης δεδομένων MongoDB.

mongodb

Μόλις οι κυβερνοεγκληματίες αποκτούν πρόσβαση στις βάσεις, πραγματοποιούν πλήρη διαγραφή της και αφήνουν σημείωμα, όπου ενημερώνουν το θύμα τους ότι για να επανέλθει η βάση στην προηγούμενη κατάσταση πρέπει να πληρώσει απο 150$ έως 500$, ανάλογα με την περίπτωση.

Ερευνητές ασφάλειας που πραγματοποίησαν στατιστική ανάλυση των επιθέσεων, κατέληξαν στο συμπέρασμα ότι μέχρι αυτή την στιγμή έχει χτυπηθεί περίπου το 25% των προσβάσιμων μέσω Internet βάσεων Mongo. Η επίθεση πραγματοποιείται επειδή οι διαχειριστές αφήνουν τον λογαριασμό διαχειριστή (Administrator) των βάσεων δεδομένων τους χωρίς κωδικό! -SHIT- (password less).

 

Η ερευνητική ομάδα του SecNews, πραγματοποίησε εδώ και 6 ημέρες, ενδελεχή έρευνα και καταγραφη των εκτεθειμένων βάσεων δεδομένων MongoDB στον Ελληνικό κυβερνοχώρο. Τα ευρήματα θα σας καταπλήξουν!

Όπως διαπιστώσαμε μεταξύ των εκτεθειμένων βάσεων δεδομένων υπάρχουν:

  • Στοιχεία Εφαρμογών παρακολούθησης  χρηστών του Twitter, για λόγους που δεν γνωρίζουμε, απο ερευνητικά ιδρύματα και ινστιτούτα που εστιάζουν στο social media monitoring.
  • Στοιχεία ποσοστών Ελληνικών κομμάτων στις εκλογές που έχουν διατεθεί σε ερευνητικά ιδρύματα (πανεπιστήμια)
  • Σύστημα εισροών εκροών πρατηρίων
  • Δεδομένα πολιτών σε βάση δεδομένων εταιρείας ηλεκτρικής ενέργειας
  • Πλήθος δεδομένων άγνωστου σημαντικότητας, που είναι εκτεθειμένα στην υπηρεσία Cloud του GRNET (Δίκτυο Πανεπιστημίων)
  • Δεδομένα απο Ερευνητικά Κέντρα, Ιδρύματα Τεχνολογίας και Πανεπιστήμια
  • Δεδομένα εταιρειών Hosting ή πελατών τους
  • Λοιπά Εταιρικά δεδομένα

… και πολλά άλλα που δεν έχουμε ακόμα προλάβει να διερευνήσουμε/ταυτοποιήσουμε!

Αποφασίσαμε να δημοσιοποιήσουμε τα ευρήματα της έρευνας  εδώ:

Μπορείτε να συμπληρώσετε με comments στο έγγραφο που δημοσιεύουμε περισσότερες πληροφορίες αναφορικά με πρόσθετα ευρήματα καθώς και να πραγματοποιήσετε τις δικές σας αναφορές εφόσον εντοπίσετε κάτι άκρως σημαντικό και κυρίως ΝΑ ενημερώσετε τους διαχειριστές των συστημάτων για να προστατευτούν!

Όπως διαπιστώσαμε κατά την ερευνά μας, ο καθένας με χαμηλό επίπεδο τεχνογνωσίας, με χρηση του εργαλειου Robomongo σε συνδυασμό με το Kali linux & το NOSQL Exploitation Framework  μπορεί να αντλήσει στοιχεία απο τις παραπάνω βάσεις δεδομένων – πολλές φορές και ευαίσθητα δεδομένα- με εξαιρετική ευκολία!

Οι λόγοι της δημοσιοποίησης είναι καταρχήν η προστασία των κρίσιμων υποδομών στην Ελλάδα απο τις επιθέσεις των τελευταίων ημερών στις ΜongoDB βάσεις δεδομένων. Επιπλέον δημοσιοποιούμε τα παραπάνω ευρήματα, για την προστασία του κοινωνικού συνόλου αλλά και των υποδομών εταιρειών που πιθανόν έχουν εκτεθειμένα στοιχεία πελατών ή πολιτών στο διαδίκτυο.

Όσοι διαχειριστές συστημάτων ή εταιρείες αναγνωρίζουν τις μοναδικές IP διευθύνσεις τους στον πίνακα που δημοσιεύουμε οφείλουν ΑΜΕΣΑ να εφαρμόσουν τις οδηγίες που ανακοίνωσε ο προμηθευτής MongoDB εδώ:

https://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data

Σε κάθε άλλη περίπτωση θέτουν τα δεδομένα πελατών τους ή εταιρειών σε ΑΜΕΣΟ κίνδυνο τις επόμενες ημέρες ή ώρες.

Update 1 – [10/1/2017 – 00:38]: Ήδη πολλές βάσεις δεδομένων απο τις προαναφερόμενες, έχουν πέσει θύμα του Ransomware που αναφέρουμε. Μόλις μας ενημέρωσαν για κρούσματα στην Ελλάδα, με τους διαχειριστές να πρέπει να πληρώσουν σημαντικά χρηματικά ποσα για να επαναφέρουν τα δεδομένα τους!

Update 2 – [10/1/2017 – 01:2o] Στοιχεία για τους κυβερνοεγκληματίες που κρυπτογραφούν βάσεις δεδομένων MongoDB τις τελευταίες ώρες μπορείτε να βρείτε στον σύνδεσμο [εδώ] ώστε να γνωρίζετε όσα στοιχεία είναι διαθέσιμα για αυτούς.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS