Plusieurs milliers de serveurs Elasticsearch piratés en vue d’héberger un malware pour terminal de PDV
D’après les résultats d’une analyse réalisée par Kromtech Security Center, des milliers de serveurs Elasticsearch non sécurisés hébergent un malware pour terminal PDV. Au total, les chercheurs ont identifié 15 000 serveurs Elasticsearch non sécurisés, dont 27 % (4 000) infectés par les malwares pour terminal de PDV Alina et JackPoS.
« En raison de l’absence d’authentification sur certains serveurs Elasticsearch, les attaquants ont bénéficié d’un accès administrateur sur les instances exposées » écrivait Bob Diachenko, Directeur de communications de Kromtech, dans un billet consacré à l’analyse et publié mardi sur le blog.
Les pirates ont attaqué ces serveurs non sécurisés afin de les utiliser dans le cadre d’un large éventail d’activités illégales comme le vol ou la destruction des données hébergées ou l’utilisation de serveurs pour masquer les serveurs de commande de types de malwares pour terminal de PDV.
Kromtech a déclaré que 99 pour cent des serveurs ElasticSearch compromis étaient hébergés sur la plateforme Amazon Web Services. « Chaque serveur ES infecté a été ajouté à un réseau de zombies de terminaux de PDV avec fonctions de centre de commandes pour des clients malware de terminal de PDV » écrit Bob Diachenko.
Parmi les serveurs qui hébergeaient le malware, certains ont participé aux campagnes sur les terminaux de PDV pour récolter, chiffrer et transférer les données de cartes de crédit volées sur les terminaux de PDV, dans la mémoire RAM ou sur des ordinateurs Windows infectés.
Alina et JackPoS, deux malwares pour terminal de PDV qui tentent de récupérer les données de carte de crédit dans la mémoire des ordinateurs, ont été détectés sur les serveurs.
D’après une analyse du malware pour terminal de PDV publiée par Arbor Networks en 2014, le développement du malware Alina remonte à mars 2012,
Kromtech a annoncé qu’elle avait détecté de nouveaux échantillons des types de malware Alina et JackPoS et que les taux de détection à l’aide de la majorité des moteurs antivirus les plus répandus avaient été faibles.
« Même pour les serveurs de commande relativement anciens qui hébergent des sites, il n’existe pas assez d’informations et VirusTotal URL Scanner ne parvient pas à détecter la majorité » écrit le chercheur.
Les problèmes de sécurité au niveau d’ElasticSearch, d’Amazon Web Services et des bases de données MongoDB ne datent pas d’hier. Au cours des 12 derniers mois, il y a eu de nombreux cas de serveurs dans le Cloud dont les données ont été détruites, retenues en otage ou divulguées.
Au mois de janvier, 360 instances d’d’ElasticSearch avaient été effacées d’après Niall Merrigan, chercheur en sécurité. À l’époque, John Matherly, fondateur de Shodan, estimait à 35 000 le nombre de serveurs AWS ElasticSearch mal configurés et accessibles via Internet.
De la même manière, au cours de ce même mois de janvier, Niall Merrigan signalait une augmentation sensible du nombre de piratages de bases de données MongoDB qui étaient ensuite prises en otage : il avait atteint 28 000.
Des seaux de stockage AWS S3 mal configurés avaient été également pointés du doigt pour expliquer une épidémie de fuites sur des serveurs.
Au mois de juillet, des experts en sécurité ont identifié de 6 à 14 millions de clients Verizon qui avaient été laissés sur un serveur non protégé qui appartenait à un partenaire de la société de télécommunication. La semaine avant, le géant du catch World Wide Entertainment avait exposé par accident les données personnelles de trois millions de fans. Plus récemment, le 5 septembre, 4 millions d’enregistrements de Time Warner Cable sans protection ont été découverts sur un AWS S4 mal configuré.
Source : Threatpost