آلودگی 200 هزار روتر MikroTik توسط بدافزار Crypto Mining

1397/05/25 آلودگی 200 هزار روتر MikroTik توسط بدافزار Crypto Mining


محققان امنیتی به تازگی سه کمپین بدافزار را که آسیب پذیری پچ نشده ی صدها روتر MikroTik را اکسپلویت کرده اند را کشف کرده اند. به گفته ی محققان این بدافزارها در این اکسپلویت توانسته اند به صورت مخفیانه ماینرهای کریپتوکارنسی را بر روی کامپیوترهای آن ها نصب کنند.

به طور کلی در این حمله بیش از 210.000 روتر از این توسعه دهنده ی روتر (MikroTik) از کشور لتونی در سراسر جهان به خطر افتاده اند که البته هنوز هم این تعداد در حال افزایش است.

مجرمان پشت این حمله آسیب پذیری شناخته شده در اجزای Winbox روترهای MikroTik را که در آوریل 2015 کشف کرده بودند را اکسپلویت کردند و نکته ی جالب توجه در این جا است که این آسیب پذیری در روز بعد پچ شده بود. این موضوع بار دیگر بی توجهی کاربران را نسبت به عدم آپدیت و نصب پچ های امنیتی نشان می دهد.

این نقص امنیتی به طور کامل به مجرم اجازه می دهد که دسترسی کامل سیستم را به عهده و از راه دور به هر روتر آسیب پذیر دیگر دسترسی پیدا کند.

اولین کمپین این بدافزارها توسط محققان Trustwave شناسایی شد که دستگاه های متصل به شبکه را در برزیل مورد هدف قرار داده بودند. در آن زمان بیش از ۱۸۳،۷۰۰ روتر MikroTik در معرض خطر قرار گرفتند.

از آنجایی که مجرمان دیگر از این آسیب پذیری در این روترها استفاده می کنند این کمپین بدافزارها در مقیاس جهانی در حال گسترش هستند.

یکی از محققان امنیتی در همین رابطه دو کمپین بدافزار دیگر را شناسایی کرده اند که ۲۵٫۵۰۰ و ۱۶٫۰۰۰ روتر MikroTik را عمدتا در مولدووا و با کدهای مخرب ماینینگ کریپتوکارنسی از سرویس های CoinHive آلوده ساخته اند.

این مجرمان کد جاوا اسکریپت Coinhive را به هر صفحه از وب که کاربر آن را بازدید می کند، با استفاده از یک روتر آسیب پذیر آلوده می کند و در نهایت هر سیستم متصل به روتر به صورت ناخودآگاه مجبور می شود کریپتوکارنسی Monero را برای مجرمان دریافت کند.

Simon Kenin یکی از محققان Trustwave در مورد این حمله می گوید: "مجرم در این حمله، یک صفحه خطای سفارشی را با یک اسکریپت CoinHive در داخل آن ایجاد کرده است و اگر کاربر یک صفحه خطا از هر نوعی را در حال مرور وب دریافت ‌نماید، در آن صورت قربانیان این صفحه خطای سفارشی را دریافت می‌کنند که CoinHive را برای مهاجمین، ماین خواهد کرد".

آن چه که در مورد این کمپین بدافزارها جالب توجه است این است که مجرمان می توانند به طور کاملا هوشمندانه ای به سراغ وب سایت هایی بروند که بیشترین بازدید کننده را دارد و با استفاده از روش های پیچیده و اجرای ابزارهای آلوده بر روی سیستم به آلودگی تعداد زیادی از آن ها بپردازد.

Kenin در این باره اذعان دارد: "صدها هزار دستگاه در سراسر جهان وجود دارند که توسط سرویس دهنده های وب، سازمان ها و کسب و کارهای گوناگون در حال استفاده از روترهای MikroTik هستند و قابل ذکر است که هر دستگاه حداقل به صدها و شاید هم صدها کاربر به طور روزانه سرویس دهی دارد.

به تمامی کاربران توصیه می شود که اگر در حال استفاده از روترهای MikroTik هستند حتما در اسرع وقت دستگاه های خود را با آپدیت منتظر شده پچ کنند. این پچ که از آوریل 2018 قابل دسترسی است برای متوقف ساختن اکسپلویت این آسیب پذیری توسط مجرمان کافی است.

Kenin دراین‌باره می‌گوید: “صدها هزار از این دستگاه‌ها (MikroTik) در سرتاسر جهان وجود دارد، که توسط ISP ها، سازمان‌ها و کسب‌وکارهای مختلف در حال استفاده هستند، که هر دستگاه حداقل به ده‌ها و شاید صدها کاربر به‌طور روزانه سرویس ارائه می‌دهد.

منبع: کسپرسکی آنلاین