Криптомайнинговая атака Monero поразила более 200 000 маршрутизаторов по всему миру
Четыре месяца после того, как было выпущен патч безопасности для роутеров MikroTik, некоторые из пользователей этих устройств, проигнорировавших эту уязвимость, стали майнерами Monero, сами не зная об этом.
Известная как CVE-2018-14847 уязвимость в безопасности роутеров MikroTik использовалась для установления скрипта для майнинга криптовалют Coinhive на сайте, который посещали пользователи устройства. Согласно исследователями по кибербезопасности в SpiderLabs, в результате этого пострадали десятки тысяч непропатченых роутеров в Бразилии, хотя это число быстро растет и распространяется по всему миру.
Эта уязвимость в интернет и Wi-Fi-роутерах от MikroTik позволяет злоумышленникам с помощью удаленного доступа обходить аутентификацию, благодаря чему они могут впоследствии читать и изменять выборочные файлы. Это было обнаружено в апреле этого года и производитель роутеров выпустил патч вскоре после этого.
Все началось в Бразилии
Впервые было обнаружено, что скрипт для майнинга Monero, Coinhive, был применен к 175 000 роутеров основном в Бразилии, но в роутеры были введены новые ключи для того же майнингового скрипта, которые на данный момент инфицировали дополнительных 25 000 роутеров в Молдове, согласно данным компании, исследующей безопасность, Troy Mursch. Пока не понятно, являются ли ответственные за новую волну атак теми же атакующими, или это их последователи.
Сначала скрипты Coinhive вводились на все страницы, которые посещал пользователь. Однако, чтобы уменьшить вероятность обнаружения, атакующий начал устанавливать скрипты с майнингом только на случайные страницы с ошибкой. Другие техники, которые атакующие использовали, чтобы избежать обнаружения, включали команды очистки после обнаружения для того, чтобы оставить после себя наименьший след.
Большое количество роутеров MikroTik до сих пор непропатчены
Хотя кампания по криптозахвату была нацелена на Бразилию, она распространяется по всему миру и может привести к компрометации большого количества роутеров MikroTik по всему миру, которые не были исправлены через четыре месяца после того, как разработчик выпустил исправления защиты.
Существуют сотни тысяч этих устройств по всему миру, их используют как интернет-провайдеры, так и другие организации и бизнес, каждое устройство обслуживает ежедневно минимум десятки, а то и сотни пользователей,
- написал в публикации в блоге исследователь из SpiderLabs Саймон Кенин (Simon Kenin).
В дополнение ко всему, атака работает в двух направлениях, она не только нацелена на роутеры MikroTik, а также влияет на сайты размещенные на серверах, использующих скомпрометированные устройства. Таким образом пользователи, которые никоим образом не подключены к этим устройствам из любой геолокации, также становятся уязвимыми.
Как уже упоминалось, серверы, подключенные к пораженным роутерам, также в некоторых случаях возвращают страницу с ошибкой с Coinhive пользователям, которые посещают эти серверы, независимо откуда они заходят в интернет,
- отметил Кенин.