Tấn công mạng Meow khét tiếng, từng tàn phá các cơ sở dữ liệu không được bảo mật từ năm 2020, đã tái xuất với sức mạnh mới thông qua công cụ MAD-CAT (Meow Attack Data Corruption Automation Tool). Công cụ mô phỏng tấn công được tùy chỉnh này trình diễn mức độ dễ dàng mà kẻ tấn công có thể làm hỏng dữ liệu trên nhiều nền tảng cơ sở dữ liệu cùng lúc, làm nổi bật một lỗ hổng nghiêm trọng vẫn đang gây khó khăn cho hạ tầng hiện đại.

Sự Trở Lại Của Meow Attack Với MAD-CAT

Mặc dù các sự cố Meow attack đạt đỉnh vào năm 2020, các tìm kiếm trên Shodan vẫn tiết lộ hàng chục cơ sở dữ liệu bị xâm nhập mang dấu hiệu “-MEOW” đặc trưng – các chuỗi chữ và số ngẫu nhiên được thêm vào dữ liệu bị hỏng. Các nhà nghiên cứu bảo mật đã phát triển MAD-CAT để mô phỏng toàn diện các cuộc tấn công này trên sáu nền tảng cơ sở dữ liệu thực tế: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB và Hadoop HDFS.

Không giống như phiên bản tiền nhiệm chỉ tập trung vào việc khai thác một mục tiêu, MAD-CAT giới thiệu các chiến dịch dựa trên tệp CSV hàng loạt. Điều này cho phép kẻ tấn công làm hỏng toàn bộ hệ sinh thái cơ sở dữ liệu trong các cuộc tấn công phối hợp. Đây là một sự leo thang đáng kể trong phương pháp tấn công, nơi các nhà phòng thủ mất đi cơ hội phát hiện tuần tự mà các cuộc tấn công đơn mục tiêu cung cấp.

Quy Trình Vận Hành Của MAD-CAT

MAD-CAT hoạt động thông qua một quy trình bốn giai đoạn có hệ thống. Công cụ này đầu tiên kết nối với các cơ sở dữ liệu mục tiêu ở chế độ không xác thực (đối với các mục tiêu không yêu cầu xác thực) hoặc có xác thực (đối với thông tin đăng nhập yếu/mặc định).

Sau đó, nó liệt kê tất cả các cơ sở dữ liệu và bộ sưu tập, đồng thời loại trừ có chủ đích các cơ sở dữ liệu hệ thống để tối đa hóa tác động lên dữ liệu vận hành. Giai đoạn làm hỏng dữ liệu sẽ tìm nạp tất cả các bản ghi và thay thế có hệ thống các trường chuỗi và số bằng chuỗi chữ và số ngẫu nhiên dài mười ký tự, sau đó là “-MEOW”. Điều này chính xác phản ánh chữ ký của cuộc tấn công năm 2020.

Kiến trúc mô-đun của công cụ sử dụng mẫu factory, cho phép các nhà nghiên cứu thêm hỗ trợ cho các nền tảng mới mà không cần sửa đổi mã framework cốt lõi.

Tác Động Catastrophic Trong Môi Trường Doanh Nghiệp

Các mô phỏng sử dụng MAD-CAT cho thấy tiềm năng gây ra thảm họa trong môi trường doanh nghiệp. Trong một kịch bản chăm sóc sức khỏe trải rộng trên cả sáu nền tảng cơ sở dữ liệu, một cuộc tấn công mạng như vậy có thể:

• Làm hỏng đồng thời hồ sơ bệnh nhân (MongoDB).
• Loại bỏ khả năng tìm kiếm lâm sàng (Elasticsearch).
• Phá hủy dữ liệu từ xa IoT từ các thiết bị y tế (Cassandra).
• Làm mất hiệu lực các phiên người dùng hoạt động (Redis).
• Loại bỏ quyền truy cập cổng thông tin bệnh nhân (CouchDB).
• Phá hủy hồ sơ thanh toán và tuân thủ (Hadoop HDFS).

Cuộc tấn công phối hợp này thể hiện những gì các nhà phòng thủ phải đối mặt trong các cuộc tấn công hiện đại: không phải các cuộc khai thác tuần tự mà là sự phá hủy dữ liệu đồng bộ, đa nền tảng, có khả năng làm tê liệt toàn bộ tổ chức trong vòng vài phút. Đây là một rủi ro bảo mật nghiêm trọng mà mọi tổ chức cần nhận thức.

Phân Tích Xu Hướng và Bài Học Từ Meow Attack

Phân tích xu hướng của Shodan tiết lộ một diễn biến tích cực. Số lượng các trường hợp Elasticsearch bị xâm nhập đã giảm từ 13.000 vào cuối năm 2020 xuống chỉ còn 7 vào tháng 9 năm 2025, giảm 85%. Các trường hợp MongoDB giảm từ 6.000 xuống 26, trong khi CouchDB giảm từ 280 xuống 3 trường hợp bị xâm nhập. Điều này phản ánh phản ứng của ngành thông qua xác thực bắt buộc trong các phiên bản cơ sở dữ liệu mới hơn và nâng cao nhận thức về bảo mật.

Tuy nhiên, sự tồn tại dai dẳng của các trường hợp bị xâm nhập năm năm sau chiến dịch ban đầu cho thấy an toàn thông tin vẫn chưa đồng đều. Các hệ thống cũ và sự sơ suất trong tổ chức tiếp tục tạo ra các cửa sổ dễ bị tổn thương. Bài học từ Meow vẫn rõ ràng: sai cấu hình là nguyên nhân chính gây ra thảm họa.

Các tổ chức phải thực thi xác thực theo mặc định, xoay vòng thông tin đăng nhập thường xuyên, phân đoạn quyền truy cập cơ sở dữ liệu và duy trì các bản sao lưu toàn diện. Các giải pháp bảo mật cung cấp khả năng phát hiện lỗ hổng, nhận dạng thông tin đăng nhập mặc định và xác minh bản vá cung cấp các lớp phòng thủ thiết yếu chống lại các cuộc tấn công mạng tương tự.

Khi bối cảnh mối đe dọa phát triển, MAD-CAT đóng vai trò là lời nhắc nhở nghiêm túc rằng các vectơ tấn công đã được ghi nhận rõ ràng vẫn tiếp tục gây ra thiệt hại thông qua hạ tầng được bảo mật không đầy đủ. Để hiểu rõ hơn về phân tích xu hướng, bạn có thể tham khảo bài viết chi tiết tại Trustwave SpiderLabs.