Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.

Дело в том, что сначала атаки концентрировались на территории Бразилии, но затем распространились и на другие страны, что уже привлекло внимание Trustwave. По данным аналитиков компании, по информации на 1 августа 2018 года неизвестные злоумышленники скомпрометировали более 72 000 роутеров MikroTik в одной только Бразилии. На тот момент подобные атаки практиковала всего одна хакерская группа, так как специалистам удалось выявить только один Coinhive-ключ.

Исследователи пишут, что хакеры эксплуатируют свежую уязвимость, которая была обнаружена в составе компонента Winbox в апреле текущего года. Хотя инженеры MikroTik оперативно устранили этот опасный RCE-баг, владельцы роутеров, к сожалению, по-прежнему не спешат устанавливать обновление на свои устройства. Между тем, для уязвимости уже были опубликованы PoC-эксплоиты (12) и подробные анализы.

После взлома устройства используются для манипуляций с трафиком: роутеры заставляли внедрять во все страницы, всех сайтов майнинговый скрипт Coinhive. Хуже того, по данным экспертов, атаки затронули не только пользователей устройств MikroTik. Дело в том, что некоторые бразильские провайдеры используют уязвимые маршрутизаторы в своих основных сетях, и в результате их компрометации инъекции Coinhive затронули большой процент трафика. Также такие инъекции опасны не только для пользователей напрямую. К примеру, если некий сайт размещается в локальной сети за роутером MikroTik, его трафик так же окажется заражен майнером Coinhive.

Однако злоумышленники быстро поняли, что встраивать майнер буквально повсюду – не слишком хорошая идея, так как подобное поведение привлекает чересчур много внимания. Тогда операторы вредоносной кампании решили ограничиться только страницами ошибок, которые возвращают роутеры. При этом массовость атак не снижается. После того как кампания распространилась за пределы Бразилии, количество зараженных Coinhive роутеров превысило 180 000.

Простое обращение к поисковику Shodan показывает, что в интернете можно обнаружить более 1,7 млн роутеров компании MikroTik, то есть атакующим определенно есть где развернуться.

Журналисты Bleeping Computer сообщают, что по данным известного ИБ-эксперта Троя Марша (Troy Mursch), специалистам удалось выявить второй ключ Coinhive, внедряемый в трафик устройств MikroTik. Вторая вредоносная кампания затронула по меньшей мере 25 000 роутеров, то есть в общей сложности уже были скомпрометированы свыше 200 000 устройств.

11 комментарий

  1. Fox_M

    06.08.2018 at 10:20

    А где же подробности? Что создается в планировщике задание, что прописывается скрипт (с этим IP 95.154.216.151), что отключаются все drop-ы в фаерволе…
    Поставил ловушки, попробую вычленить IP с которого идет заражение.

  2. DanielB

    06.08.2018 at 10:59

    Да, как бороться то? Куда смотреть?

    • Fox_M

      07.08.2018 at 01:22

      Почистил руками Скрипт (Files — mikrotik.php), Планировщик (System — Scheduler), Socks (IP — Socks — Enable = no). Накатил последнюю прошивку — встала без проблем.
      Господа, хочу сказать, что данная коллизия, случилась исключительно из-за нашей нерасторопности по установки обновлений закрывающих уязвимости. Поэтому и получается «получите, распишитесь».

    • Fox_M

      07.08.2018 at 04:02

      И сменить пароль…

  3. Неуловимый Джо

    06.08.2018 at 18:26

    Вот тебе и микротики.. Когда они стали относительно популярны у простого обывателя, так сразу и уязвимостей куча понаходилась..

    • aandrusha

      07.08.2018 at 15:12

      Только у получивших недавно популярность среди простых обывателей Микротиков практически пожизненная поддержка с регулярными обновлениями, чего нельзя сказать про Zyxel, ASUS и прочий D-Link.

    • Rainb0W

      29.09.2018 at 06:47

      Ну конечно… криворукие одмины настраивают устройства по статейкам «How To чтоб был интернет!» и при этом оставляют открытым управление из внешнки лол :D, потом их тупо брутят по стандартному логину admin пароль admin, а виноват МикроТик 😀

  4. 1dollar

    02.10.2018 at 13:55

    Эта та свирепая сволочь, которая валит микротики, которые на белом ip? У меня на работе кипешь с утра дикий! Много организаций пострадали, в том числе дет. Сады и прочие муниципальные учреждения.
    Микротики, которые на сером ip, этой хрени не подвержены, говорят наши спецы.

Оставить мнение