Tấn công các cơ sở dữ liệu MongoDB nhằm đòi tiền chuộc

Trong thời gian gần đây, các chuyên gia bảo mật đã quan sát thấy có sự gia tăng đáng kể các cuộc tấn công mạng tới các máy chủ cài đặt cơ sở dữ liệu MongoDB nhằm đòi tiền chuộc. Đăc điểm của các máy chủ này là không có bất kì cơ chế bảo vệ nào cho MongoDB, mở cổng dịch vụ mặc định 27017 ra ngoài mạng internet. Hacker hoặc bất kì ai đều có thể dễ dàng truy cập, sao chép và thay đổi dữ liệu.

Đối với các cơ sở dữ liệu này việc tấn công là vô cùng đơn giản, đầu tiên kẻ tấn công có thể dễ dàng dò quét các máy chủ cài đặt mongoDB bằng việc chạy các script để dò quyét cổng dịch vụ, dò quyét cơ chế xác thực để tìm ra các máy chủ không an toàn. Hoặc bằng một cách khác thông qua các máy tìm kiếm như Shodan , Censys, ZoomEye. Sau khi đã khi đã có quyền truy cập vào cơ sở dữ liệu thì hacker có toàn quyền đối với dữ liệu đó.

Đã có rất nhiều cuộc tấn công nhắm đến các cơ sơ dữ liệu này đặc biệt là các cuộc tấn công đòi tiền chuộc. Các cuộc tấn công này được thực hiện bởi hacker có biệt danh “Harak1r1”. Sau khi đã truy cập vào cơ sở dữ liệu thì hacker đã copy toàn bộ dữ liệu trong hệ thống về một máy chủ riêng, xóa toàn bộ dữ liệu và để lại duy nhất một bản ghi có mục đích hướng dẫn nạn nhân trả tiền chuộc.

Dữ liệu còn lại trong database chỉ còn lại bản ghi yêu cầu các nạn nhân trả  0,2 bitcoin (BTC) tương đương với khoảng 200$ để phục hồi lại dữ liệu bị đánh cắp và để chứng minh việc sở hữu dữ liệu, hacker yêu cầu người quản trị gửi thông tin vào email của họ.

Tuy nhiên còn một vấn đề khác nữa có thể xảy ra đó là việc nạn nhân có thể không biết được chính xác ai là người đang chứa bản backup dữ liệu của họ. Các chuyên gia cũng cảnh báo việc không phát hiện sớm dữ liệu đã bị tấn công có thể dẫn tới việc có một ai khác, một hacker dù truy cập sau tới các cơ sở dữ liệu đã bị tấn công này, không có dữ liệu thực sự nhưng họ vẫn có thể thay đổi thông tin về địa chỉ email, địa chỉ nhận BTC. Và như thế dù nạn nhân có trả tiền chuộc nhưng dữ liệu vẫn bị mất.

Không chỉ dừng lại ở đó các hacker đứng đằng sau các cuộc tấn công vào MongoDB đã chuyển hướng sang một dạng cơ sở dữ liệu NoSQL tương tự khác đó chính là Elasticsearch. Elasticsearch là một cơ sở dữ liệu, search engine mã nguồn mở được xây dựng trên nền tảng Java sử dụng các thư viện của Lucene, được sử dụng rộng rãi bởi nhiều tổ chức trên thế giới.

Cách thức để tấn công các Elasticsearch cluster (Cụm máy chủ cài đặt elasticsearch) với mục đích tống tiền cũng tương tự cách thức tấn công đối MongoDB. Hacker nhắm tới các Elasticsearch cluster được cài đặt không an toàn, mở cổng dịch vụ ra mạng internet, không có bất kỳ cơ chế xác thực nào. Khi truy cập được vào cơ sơ dữ liệu hacker thực hiện sao lưu và xóa dữ liệu các index và tạo một index duy nhất có nội dung đòi tiền chuộc.

Không chỉ có MongoDB và Elasticsearch mà một số cơ sở dữ liệu khác khi người dùng cài đặt để lại các lỗ hổng mà cho phép truy cập từ mạng internet như Redis, CouchDB, Cassandra và Riak đều bị ảnh hưởng bởi các cuộc tấn công như vậy. Để đảm bảo an toàn dữ liệu các quản trị viên cần cấu hình đảm bảo an toàn thông tin cho các cơ sờ dữ liệu của mình theo các hướng dẫn của nhà phát hành.