Pre skoro dva meseca pisali smo o tome da je više od 200.000 Mikrotik rutera zaraženo malverom koji rudari kripto valutu bez znanja vlasnika rutera.

Ovaj napad na MikroTik rutere je moguć zahvaljujući poznatom bezbednosnom propustu CVE-2018-14847, za koji je MikroTik izdao patch još početkom godine.

I pored postojanja patcha i upozorenja da MikroTik rutere treba ažurirati, statistika pokazuje da veliki broj vlasnika i administratora uređaja nije primenio patch. Veliki broj rutera je i dalje kompromitovan. Prema podacima sa Shodana i Censysa, blizu 180 hiljada rutera je zaraženo Coinhiveom.

Coinhive je jedan od, ali ne i jedini cryptojacking malver kojim su inficirani MikroTik ruteri, tako da je broj rutera koji su i dalje kompromitovani veći od 180.000.

Osim Coinhive malvera, u kampanjama su korišćeni i Coinimp, WebMinePool, Crypto-Loot i drugi kripto malveri.

Zaraženi MikroTik ruteri u Srbiji

Kada smo prvi put čuli za cryptojacking kampanju koja je usmerena na MikroTik rutere, proverili smo da li ima zaraženih uređaja u Srbiji. U tom trenutku ih nije bilo, ali ih je bilo u blizini, u Rumuniji.

Sada smo ponovo istraživali i ispostavilo se da u ovom trenutku ima 614 MikroTik rutera u Srbiji kod kojih je detektovan Coinhive, što znači da je ukupan broj kompromitovanih uređaja veći, jer nismo uzimali u obzir ostale kripto malvere. Od tog broja, više od 200 rutera sigurno rudari.

Zaključak

Rudarenje kripto valuta nije najgore što napadači mogu da urade sa kompromitovanim MikroTik ruterima. Netlabov izveštaj pokazuje da mogu da se koriste i za malicioznije radnje, kao što je prisluškivanje čitavog saobraćaja koji prolazi kroz njih. MiktoTik korisnici treba da se postaraju da koriste najnoviju verziju RouterOS-a gde je ranjivost CVE-2018-14847 patchovana. Svi koji koriste verziju 6.42 ili stariju, treba da primene update, koji mogu da preuzmu ovde.

Izvor: badpackets.net