Уже 4300 незащищённых баз данных, выставленных на всеобщее обозрение в интернете, стали мишенью автоматизированной атаки Meow («мяу»), которая уничтожает данные без каких-либо пояснений.
Одним из первых публично известных примеров атаки «Мяу» стала база данных Elasticsearch, принадлежащая гонконгскому VPN-провайдеру, который заявлял, что не хранит никаких логов, но по недосмотру выложил в интернет 1,2 терабайта конфиденциальных данных своих пользователей.
Организатор атаки и его цели пока остаются неизвестными. Атака выглядит как автоматический скрипт который, перезаписывает или полностью уничтожает данные любой базы данных, которая небезопасна и доступна через интернет. После Elasticsearch и MongoDB были случаи удаления баз данных Cassandra, CouchDB, Redis, Hadoop, Jenkins, а также на сетевых устройствах хранения данных.
Поиск в Shodan выдаёт и вовсе 10 814 баз данных с записями 'meow'. Более половины из них — это Elastic и MongoDB. Более 170 баз данных удалено у российских хостеров, таких как Mail.ru, Selectel, ЗАО «Хостинговые Телесистемы» и проч.
Хотя до сих пор неизвестно, почему неизвестный стирает базы данных, исследователь безопасности по имени Anthr@X обнаружил, что атаки проводятся через IP-адреса ProtonVPN.
The #meow attack is going thru @protonvpn, not sure how many origin IPs there are. From the logs in MongoDB you can see it drops databases first then create new ones with $randomstring-meow @MayhemDayOne @BleepinComputer #infosec pic.twitter.com/49dnVOGyq7
— Anthr@X (@anthrax0) July 24, 2020
Предполагают, что атаки «Мяу» могут быть действиями некоего мстителя-одиночки, который пытается преподать сетевым администраторам урок безопасности, стирая незащищённые данные.