1500대의 Elasticsearch 서버 공격 당해

A hacker has wiped, defaced more than 15,000 Elasticsearch servers

최근 보안 연구원들에 따르면, 지난 2주 동안 공격자들이 암호 없이 공개되어있는 Elasticsearch 서버에 접근하여 서버에 저장되어 있던 정보들을 삭제한것으로 확인되었습니다. 이 공격자들은 공격 과정 중, 한 사이버 보안 회사의 이름을 남겨두어 다른 조직이 한 것처럼 위장하려 시도하였습니다. 

이번 공격은, 2020년 3월 24일 전후로 처음 시작한 것으로 밝혀졌습니다. 

보안연구원에 따르면, 이번 공격 중 공격자는 자동화된 스크립트를 사용하였으며, 이 스크립트는 통하여 외부 인터넷에 공개되어 있으며 비밀번호가 설정되어있지 않은 ElasticSearch 시스템을 서칭하는 역할을 합니다. 이렇게 자동화된 스크립트를 통하여 시스템을 찾아낸 후 데이터 베이스에 접근 후 저장되어있는 자료 삭제를 시도합니다. 마지막으로 “nightlionsecurity.com” 이름을 가진 빈 인덱스를 생성합니다. 

그러나 nightlionsecurity.com 색인이 내용이 그대로 유지되는 데이터베이스도 존재하므로 공격 스크립트는 모든 경우에 작동하지는 않습니다.

하지만, Elashticsearch 서버 상 데이터를 지우는 행위는 예를 들어 3월 24일,25일,26일 등 최근 날짜를 기준으로 제거되기 때문에 그 행위는 쉽게 발견됩니다. Elasticsearch 서버 중에 저장된 데이터들은 변동성이 크기 때문에, 데이터가 삭제 된 정확한 시스템의 수량을 파악하기는 어렵습니다. 

Night Lion Security 회사와의 관련성은?

이번 사건이 공개된 후 다음날, Night Lion Security의 창립자인 Vinny Troia는 자신의 회사는 현재 진행되고 있는 공격과 관련이 없다고 밝혔습니다. 

3월 26일, DataBreaches.net과의 인터뷰에서  Vinny Troia는 이번 공격은 자신이 지난 몇 년 동안 추적해오고 있는 해커 조직의 소행인 것으로 추정되며, 해당 공격자에 대해 최근 공개하였다고 밝혔습니다. 

3월 26일, 해당 공격은 장난처럼 보였지만 그 후의 일련이 공격 행위들을 통해 이것이 일련의 해킹 활동임이 밝혀졌습니다. BinaryEdge의 조사에 따르면, 처음 Night Lion Security 창시자와 연락을 하였을 때에는 약 150대의 Elasticsearch 서버가 공격을 당했었지만, 현재는 공격을 당한 서버가 “nightlionsecurity.com” 인덱스가 있는 Elasticsearch 서버를 포함한 15000여대로 증가하였다고 밝혔습니다. 

동일한 BinaryEdge에 퍼블릭 인터넷에 직접 노출되는 총 34,500 개의 Elasticsearch 서버가 있다는 점을 고려하면 이 숫자는 상당히 큽니다.

<이미지 출처 : https://www.zdnet.com/article/a-hacker-has-wiped-defaced-more-than-15000-elasticsearch-servers/?tdsourcetag=s_pctim_aiomsg>

Vinny Troia는 이미 이번 공격과 관련된 상세 내용을 관련 사법부에 전달했다고 밝혔습니다. 

또한 ZDNet은 Elastic 보안팀에 연락하여 현재 증가하고 있는 Elasticsearch 서버에 대한 공격과 관련하여 분석과 조사를 요청하였습니다. 

Wethington은 현재 이 공격의 영향을 받는 서버 목록을 작성하여 서비스가 중단되었을 수 있는 회사를 식별하려고 합니다.

이밖에 이번 공격을 조사하면서, Wethington은 Elasticsearch 서버를 공격 대상으로 하는 또 다른 해커도 확인했습니다. 이 공격자는 보안 설정이 되지 않은 서버를 침입하여 피해자에게 해킹 당했다는 메시지를 남기고 전자 메일을 통해 서버에 접속하도록 요청합니다. 현재 약 40대의 서버들이 공격을 당한 것으로 보이며, 공격 규모가 작다는 것을 알 수 있습니다.

 

<이미지 출처 : https://www.zdnet.com/article/a-hacker-has-wiped-defaced-more-than-15000-elasticsearch-servers/?tdsourcetag=s_pctim_aiomsg>

이렇게 Elasticsearch 서버 혹은 데이터에 대한 파괴성 공격은 처음이 아닙니다. 2017년 1분기, Elasticsearch를 포함한 여러 DB서버들을 대상으로 여러 해킹조직을이 랜섬웨어 공격을 진행한 적이 있습니다. 

2017년도에, 수천대의 Elasticsearch 서버의 데이터가 불법적으로 삭제되었으며, 공격자들은 결제 정보를 남겨두어 사용자들에게 데이터 복구비용을 요구하기도 하였습니다. 하지만 안타까운것은, 공격자들이 실제로 삭제된 데이터들에 대해 백업을 진행해 두었는지 여부는 알 수 없다는 점 입니다. 

출처 :

https://www.zdnet.com/article/a-hacker-has-wiped-defaced-more-than-15000-elasticsearch-servers/?tdsourcetag=s_pctim_aiomsg