200 000 MikroTik rutera zaraženo Crypto Mining malverom
MikroTik ruteri rudare kripto valute bez znanja i dozvole vlasnika.
U Coinhive cryptojacking kampanji velikih razmera zaraženi su MikroTik ruteri koje napadači koriste za rudarenje kripto valuta kroz krađu CPU snage računara žrtava. Meta kampanje su korisnici u Brazilu.
Došlo je do kompromitovanja velikog broja uređaja istovremeno, a da je na delu rudarenje kripto valuta bilo je jasno jer su svi uređaji koristili isti SiteKey.
Coinhive je legitimni alat za rudarenje kripto valute Monero preko browsera korisnika, ali ga sajber kriminalci širom sveta masovno zloupotrebljavaju zbog čega ga mnoga AV i bezbednosna rešanja blokiraju.
Trenutno je poznato da 175.000 uređaja koriste jedan isti SiteKey, dok 25.000 koriste drugi SiteKey. Ukoliko iza oba napada stoje isti napadači, to znači da pod svojom kontrolom imaju 200.000 uređaja.
Veza između Coinhive aktivnosti i MikroTik rutera je otkrivena u sistemu jedne bolnice u Brazilu.
Ovo nije prvi slučaj kompromitovanja MikroTik rutera. Ranije smo pisali o destruktivnom VPNFilter malveru koji je, između ostalih, inficirao i rutere pomenutog proizvođača.
Treba napomenuti da nije u pitanju Zero-Day ranjivost, već poznati bezbednosni propust CVE-2018-14847 koji pogađa Winbox za MikroTik RouterOS. Preko verzije 6.42, napadači daljinski mogu da zaobiđu autentifikaciju i čitaju arbitrarne fajlove modifikovanjem zahteva za promenu jednog bajta povezanog sa ID-jem sesije.
Ne mora da znači da je za masovnu eksploataciju MikroTik uređaja kriv vendor. Zakrpa je napravljena istog dana kada je ranjivost otkrivena. Nažalost, dostupno ažuriranje nije urađeno na stotinama hiljada uređaja čime su postali ranjivi i podložni napadu. Uspešno kompromitovanje rutera ima za posledicu da se na svakoj strani koju korisnik poseti učitava Coinhive skripta.
Nije poznato ko stoji iza napada, ali je očigledno da dobro poznaje funkcionisanje MikroTik rutera. Kampanja je još jedan pokazatelj kako nepoštovanje bezbednosnih preporuka o ažuriranju može imati velike posledice.
Pretnja kao što je ransomware može napadaču doneti više prihoda od jednog računara nego njegova eksploatacija za rudarenje kripto valuta. Ali, samo u slučaju da korisnik plati otkupninu. Korisnici su vremenom postali svesni ove pretnje pa sve više njih redovno vrši backup svojih podataka i odbija da plati otkupninu. Zato su se mnogi sajber kriminalci „prešaltovali“ na zloupotrebu tuđih računara za rudarenje kripto valuta. U prilog im ide činjenica da korisnici često ne mogu da primete da im neko koristi računar u ove svrhe. Tako da, iako su prihodi manji, sajber kriminalci utehu pronalaze u tome što računar prosečne žrtve mogu da zloupotrebljavaju u kontinuitetu tokom dužeg vremenskog perioda.
Mapa zemalja u kojima je registrovan Coinhive u Mikrotik ruterima. Izvor shodan.io.
Ako primetite simptome opisane u prethodnom linku, možda se vaš računar zloupotrebljava za rudarenje kripto valuta.
Izvor: ZDNet