Только в прошлом месяце стало известно, что более 200 000 маршрутизаторов Mikrotik были заражены майнинговой малварью. Теперь аналитики китайской ИБ-компании Qihoo 360 обнаружили в интернете еще около 370 000 потенциально уязвимых устройств Mikrotik. Более 7500 из них уже стали жертвами хакеров, но теперь проблема уже не только в майнинге: трафик этих устройств передается неизвестным третьим лицам.

Злоумышленники по-прежнему эксплуатируют RCE-уязвимость в составе Webfig и уязвимость CVE-2018-14847, которая  была обнаружена в составе компонента Winbox и устранена в апреле текущего года. Эксплоиты для этой проблемы свободно доступны сразу в нескольких вариантах (123). Более того, эти уязвимости использовал инструмент ЦРУ под названием Chimay Red, о котором стало известно в рамках публикации Vault7 — огромного архива секретных документов и хакерских инструментов Центрального разведывательного управления США, который «утек» у спецслужб и оказался в распоряжении Wikileaks.

И исследователи пишут, что, несмотря на наличие патча, перед проблемой CVE-2018-14847 по-прежнему уязвимы более 370 000 из 1 200 000 роутеров MikroTik. Распределение скомпрометированных устройств по странам приведено на иллюстрациях ниже.

Помимо скрытого майнинга, злоумышленники теперь компрометируют устройства и иным образом. Так, выяснилось, что 7500 маршрутизаторов передают трафик TZSP (TaZmen Sniffer Protocol) на девять внешних IP-адресов.

Атакующие изменяют настройки анализа пакетов и направляют данные себе. По наблюдениям специалистов, самым «крупным игроком» здесь выступает 37[.]1[.]207[.]114 – туда передают информацию множество устройств.

Исследователи пишут, что атакующих особенно интересуют порты 20, 21, 25, 110, 144, 161 и 162 которые связаны с трафиком FTP,  SMTP, POP3, IMAP и SNMP, соответственно.

Кроме того, эксперты предупреждают, что на 239 000 устройств атакующие активировали Socks4-прокси, используя порт TCP/4153, причем доступ есть только у подсети 95.154.216.128/25. Таким образом атакующие могут сохранять «связь» к устройствами даже после их перезагрузки, так как скомпрометированные маршрутизаторы время от времени выполняют внесенную в планировщик задачу: сообщают свой IP-адрес на заданный преступниками адрес.

Аналитики Qihoo 360 пишут, что пока неясно, для чего атакующие планируют использовать Sock4-прокси далее, но, судя по всему, они готовят нечто очень масштабное.

Владельцам устройств MikroTik настоятельно рекомендует установить новейшую версию прошивки, а также проверить настройки на предмет возможных изменений, внесенных преступниками.

6 комментариев

  1. Владиславище

    06.09.2018 at 00:03

    Обычно обновление прошивки не меняет настройки роутера. Уж лучше тогда, сбросить роутер в дефолт, обновить прошивку и восстановить настройки из файла конфигурации или вручную…

  2. CoolMocker

    06.09.2018 at 01:48

    Какие-то доморощенные хакеры…. в 21 веке нормальные люди используют SSL версии SMTP, POP3, IMAP. А это совсем другие порты.

    • Aslan

      11.09.2018 at 14:10

      А ещё используют сложные пароли для учётных записей, причём разные для разных сервисов, всегда меняют дефолтовые пароли на устройствах, всегда устанавливают последние обновления ОС и другого ПО, всегда… можно продолжать.
      Есть те (и их не мало), кто использует нешифрованные протоколы. Не говоря о том, что почтовые серверы между собой часто общаютс по незашифрованному SMTP. Вполне разумно со стороны «доморощенных хакеров» пользоваться этой неосторожностью людей.

  3. Lmar

    10.09.2018 at 18:11

    Видимо шифрованый трафик их не интересует

  4. demon_sl

    13.09.2018 at 12:33

    СулМоскер, :)) видимо не понимает, что только из не зашифрованного трафика легко вытащить логины и пароли 🙂 все верное делают !

  5. Okwificom

    16.09.2018 at 02:41

    Забавно, что «самый надёжный» производитель попал, а не массовый…

Оставить мнение