À la faveur de la pandémie, le monde entier semble ligué contre un ennemi commun : le COVID-19. Même certains acteurs, belligérants hier, ont mis en suspens leurs querelles pour se concentrer sur la nouvelle pandémie. Si cette situation a poussé de nombreuses entités à mettre en pause leurs activités (aussi bien bonnes que mauvaises) le temps de laisser passer la crise, il n’en est pas de même pour certains pirates qui, en ces temps difficiles que traverse le monde entier, ont trouvé le moyen de rendre les choses encore plus compliquées qu’elles ne le sont déjà pour les entreprises.Vers la fin du mois de mars, plusieurs serveurs Elasticsearch laissés sans mot de passe sur la toile ont vu leurs contenus être supprimés et remplacés par le nom de domaine nightlionsecurity.com. Les premiers forfaits ont été détectés vers le 24 mars et concernaient 157 serveurs. Selon les premiers éléments de l’enquête, le pirate aurait utilisé un script automatisé pour parcourir la toile en quête de serveurs Elasticsearch non protégés par un mot de passe. Une fois les serveurs non protégés détectés, il se serait connecté avec son script, et aurait supprimé le contenu en laissant après son passage un nouvel index appelé nightlionsecurity.com.
Nightlionsecurity.com est une entreprise spécialisée dans l’évaluation des risques de sécurité informatique. Elle fournit aux entreprises une assistance pour les aider à renforcer leur sécurité en effectuant des audits de sécurité web et réseau, des tests de pénétration, des enquêtes médicolégales, etc. Après que l’adresse de l’entreprise Night Lion Security ait été découverte sur les serveurs Elasticsearch dont les contenus ont été effacés, bien évidemment, les regards se sont tournés vers cette dernière. Selon Bob Diachenko, le chercheur en sécurité de Databreaches, qui a découvert et rapporté les forfaits, cette action ne vise qu’à faire porter le chapeau à Vinny Troia, le CEO de l’entreprise.
Pour sa part, Vinny Troia, qui est également conférencier en cybersécurité, enquêteur numérique, hacker et auteur de livres a déclaré sur son compte Twitter que « ;cela ne peut être que des représailles pour mon livre. Je suppose que #TheDarkOverlord devient agité alors qu’il est assis en attendant que la GRC (Gendarmerie royale du Canada) l’arrête ;». Pour mieux comprendre cette affaire, il faut savoir que depuis plusieurs années, Vinny Troia enquête sur les actes de piratage du groupe The Dark Overlord. Ce groupe est accusé de plusieurs actes criminels comme le vol de données, le chantage, le harcèlement, l’intimidation, l’extorsion de fonds, des menaces de mort contre des écoliers, etc. Pour Troia, le groupe The Dark Overlord serait donc en colère contre lui depuis la publication de son livre « ;Hunting Cyber Criminals ;» qui met à nu les actions de piratage du groupe. Selon l’auteur, ce serait donc en représailles aux actions du groupe qui ont été divulguées dans son livre que le nom de son entreprise a été associé au piratage des serveurs Elasticsearch. L’auteur va même jusqu’à déclarer que les piratages auraient été perpétrés par un jeune vivant au Canada qu’il identifie comme appartenant au groupe. Selon lui, le jeune en question attend un procès qui doit s’ouvrir le 21 avril de cette année.
Lorsque Databreaches a découvert les premiers serveurs défacés, l’on en dénombrait seulement plus d’une centaine. Quelques jours plus tard, l’entreprise en a répertorié plus de 2 ;200. Présentement, l’on compte 10 ;601 serveurs Elasticsearch qui ont fait les frais de ces actes de piratage.
Selon Troia, les pirates semblent exploiter une vulnérabilité dans le framework PHPUnit destiné à effectuer des tests unitaires, mais cela reste encore à prouver. En attendant la fin de cette histoire, les entreprises ayant hébergé leurs données sur des serveurs Elasticsearch gagneraient à y ajouter un mot de passe afin de ne pas avoir de mauvaises surprises.
Source : Databreaches, Twitter, Shodan
Et vous ?
Selon vous, l’entreprise Night Lion Security serait-elle impliquée dans le piratage de ces serveurs Elasticsearch ;? Comme Vinny Troia, pensez-vous que ces actes de piratage ont été commis par un membre du groupe The Dark Overlord ;? Avez-vous déjà rencontré des cas de figure où des serveurs ont été exposés sur la toile sans mot de passe ;? Quelles raisons pourrait-on associer à ces serveurs laissés sans mot de passe ;? Incompétence, négligence ou autre chose ;?Voir aussi
108 millions de paris de clients de casinos en ligne exposés via une instance Elasticsearch mal configurée, y compris les détails des utilisateurs Un serveur du département des valeurs mobilières de l’Oklahoma permettait à quiconque de télécharger des données gouvernementales confidentielles Des informations classées « ;Top Secret ;» de l’armée américaine et de la NSA ont été exposées en ligne, sur des serveurs Amazon 2019 a été une « ;année record ;» en termes de violations de données, petit tour d’horizon sur celles qui ont le plus marqué