Einer Analyse vom Kromtech Security Center zufolge hosten tausende von unsicheren Elasticsearch-Servern Point-of-Sale-Malware. Insgesamt haben die Forscher 15.000 unsichere Elasticsearch-Server gefunden, von denen 27 Prozent (4.000) die PoS-Malware-Stämme Alina und JackPoS beherbergen.
„Die fehlende Authentifikation auf einigen Elasticsearch-Servern ermöglichte es Angreifern, vollständige administrative Kontrolle über die ungeschützten Instanzen zu übernehmen“, schrieb Bob Diachenko, Chief Communication Officer bei Kromtech, am Dienstag in einem Blogpost über die Untersuchung.
Unsichere Server, so sagt er, hätten Hackern Tür und Tor für eine ganze Reihe illegaler Aktivitäten geöffnet, wie z.B. den Diebstahl oder die Zerstörung der gespeicherten Daten und die Nutzung der Server zum Verbergen von Command & Control-Servern für PoS-Malware.
Laut Kromtech wurden 99 Prozent der kompromittierten ElasticSearch-Server auf der Plattform Amazon Web Services gehostet. „Jeder infizierte ES-Server wurde Teil eines größeren PoS-Botnets mit Command-and-Control-Funktionalität (C&C) für PoS-Malware-Clients“, schreibt Diachenko.
Die mit Malware infizierten Server wurden im Rahmen der PoS-Kampagnen dazu benutzt, die Kreditkarteninformationen, die von PoS-Terminals, aus dem Arbeitsspeicher oder von infizierten Windows-Maschinen gestohlen wurden, zu verschlüsseln und weiterzuleiten.
Auf den Servern wurden die Schadprogramme Alina and JackPoS gefunden, PoS-Malware, die versucht, Kreditkarteninformationen von Computerspeichern abzugreifen.
Einer Analyse von PoS-Malware zufolge, die Arbor Networks im Jahr 2014 veröffentlicht hat, wurde der Schädling Alina bereits im März 2012 entwickelt.
Kromtech hat nach eigenen Angaben neue Samples der Schädlingsfamilien Alina und JackPoS gefunden, wobei die Detektionsraten der meisten gängigen Antiviren-Engines gering gewesen seien.
„Selbst über die relativ alten C&C-Server gibt es nicht ausreichend Informationen und der URL-Scanner von VirusTotal erkennt die meisten von ihnen nicht“, sagen die Forscher.
Dass ElasticSearch, Amazon Web Services und MongoDB-Datenbanken mitunter unsicher sind, ist nichts Neues. Im Laufe der letzten 12 Monate gab es zahlreiche Fälle, in denen Daten auf den Cloud-basierten Servern entweder zerstört oder zu Erpressungszwecken gekidnappt wurde, oder in denen sensible Informationen abgeflossen sind.
Im Januar wurden laut Sicherheitsforscher Niall Merrigan 360 ElasticSearch-Instanzen gelöscht. Zu der Zeit schätzte Shodan-Gründer John Matherly, dass 35.000 AWS-ElasticSearch-Server nicht korrekt konfiguriert und dem Internet schutzlos ausgesetzt waren.
Ungefähr zur selben Zeit, im Januar dieses Jahres, registrierte Merrigan zudem eine deutliche Zunahme von MongoDB-Datenbanken, die gekapert und gegen Zahlung eines Lösegeldes den Besitzern wieder zum Rückkauf angeboten wurden: 28.000.
Falsch konfigurierte AWS S3-Speicher sind ebenfalls wegen einer Zunahme von undichten Servern ins Gespräch gekommen.
Im Juli stellten Sicherheitsexperten fest, dass zwischen 6 und 14 Millionen Verizon-Kunden einem ungeschützten Server ausgeliefert waren, der einem Partner des Telekommunikationsunternehmens gehört. Eine Woche vorher hatte der Wrestling-Giant World Wide Entertainment versehentlich die Daten von fast drei Millionen Fans preisgegeben. In jüngerer Vergangenheit, am 5. September, wurden vier Millionen Datensätze von Time Warner Cable ungeschützt auf einem falsch konfigurierten AWS S3 gefunden.
Source: Threatpost
Source: DE Securelist info