محققان امنیتی حداقل سه کمپین عظیم دژافزاری را کشف کردهاند که از صدها هزار روتر MikroTik وصله نشده بهرهبرداری کردند تا مخفیانه minerهای ارزهای رمزنگاریشده را بر روی رایانههای متصل به آنها نصب کنند.
درمجموع، این کمپینهای دژافزاری بیش از ۲۱۰،۰۰۰ روتر از این ارائهدهنده سختافزار شبکه از کشور لتونی را در سراسر جهان به خطر انداختهاند، که هنوز هم این تعداد در حال افزایش است.
این مهاجمان از یک آسیبپذیری شناختهشده در کامپوننت Winbox روتر MikroTik بهرهبرداری کردند که در آوریل سال ۲۰۱۸ کشف شده بود[۱] و طی یک روز پس از کشف آن نیز وصله شده بود. این موضوع بار دیگر بیدقتی مردم در استفاده بهموقع از وصلههای امنیتی را نشان میدهد.
این نقص امنیتی بهطور بالقوه میتواند به یک مهاجم اجازه دهد تا دسترسی مدیریتی غیرمجاز و از راه دور به هر روتر MikroTik آسیبپذیر داشته باشد.
اولین کمپین که توسط محققان Trustwave کشف شد[۲]، با هدف قرار دادن دستگاههای شبکه در برزیل آغاز شد، جایی که یک مهاجم یا گروهی از مهاجمان بیش از ۱۸۳،۷۰۰ روتر MikroTik را در معرض خطر قرار دادند.
ازآنجاکه دیگر مهاجمان نیز از این آسیبپذیری روتر MikroTik استفاده میکنند، این کمپین در مقیاس جهانی در حال گسترش است.
Troy Mursch، یکی دیگر از محققان امنیتی، دو کمپین مشابه دژافزاری دیگر را شناسایی کرده است[۳] که ۲۵٫۵۰۰ و ۱۶٫۰۰۰ روتر MikroTik را عمدتاً در مولدووا و با کد موذی mining ارزهای رمزنگاریشده از سرویس بدنام CoinHive آلوده کردهاند.
این مهاجمان کد جاوا اسکریپت Coinhive را به هر صفحه وب که یک بازدیدکننده با استفاده از یک روتر آسیبپذیر بازدید میکند؛ تزریق میکنند و درنهایت هر کامپیوتر متصل را بهصورت ناخودآگاه مجبور به mine کردن ارز رمزنگاریشده Monero برای مهاجمان میکنند.
Simon Kenin، محقق Trustwave دراینباره میگوید: “مهاجم یک صفحه خطای سفارشی با یک اسکریپت CoinHive در داخل آن ایجاد کرده است و اگر کاربر یک صفحه خطا از هر نوعی را در حال مرور وب دریافت کند، آنها این صفحه خطای سفارشی را دریافت میکنند که CoinHive را برای مهاجم mine خواهد کرد.”
آنچه در مورد این کمپین قابلتوجه است، این است که چگونه مهاجمین بهطور هوشمندانه بهجای رفتن سراغ وبسایتها با تعداد بازدیدکنندگان یا کاربران نهایی کم و استفاده از روشهای پیچیده برای اجرای دژافزار بر روی رایانههای آنها، تعداد زیادی از دستگاهها را در یکزمان آلوده میکنند.
Kenin دراینباره میگوید: “صدها هزار از این دستگاهها (MikroTik) در سرتاسر جهان وجود دارد، که توسط ISP ها، سازمانها و کسبوکارهای مختلف در حال استفاده هستند، که هر دستگاه حداقل به دهها و شاید صدها کاربر بهطور روزانه سرویس ارائه میدهد.
این موضوع یک یادآوری خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MicroTik آسیبپذیر را به کار میگیرند تا در اسرع وقت دستگاههای خود را وصله کنند. یک وصله واحد، که از ماه آوریل ۲۰۱۸ در دسترس است، برای متوقف کردن این بهرهبرداری عظیم از یک آسیبپذیری کافی است.
این اولین بار نیست که روترهای MikroTik برای گسترش دژافزارها هدف قرارگرفتهاند. در ماه مارس ۲۰۱۸، یک گروه هکری پیشرفته از آسیبپذیریهای ناشناخته در روترهای MikroTik بهمنظور مخفی ساختن نرمافزارهای جاسوسی بر روی رایانههای قربانیان بهرهبرداری کرد[۴].
منابع
[۱] https://github.com/BasuCert/WinboxPoC
[۲]https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/
[۳] https://twitter.com/bad_packets/status/1025154598099513345
[۴] https://apa.aut.ac.ir/?p=3626
[۵] https://thehackernews.com/2018/08/mikrotik-router-hacking.html
ثبت ديدگاه