Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика

Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за более чем 7500 маршрутизаторами MikroTik. На захваченных устройствах было организовано перенаправление трафика пользователя на подконтрольный атакующим хост.

Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устраненной в апрельском обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью.

Многие из этих устройств уже атакованы. Например, на 7500 устройств обнаружено изменение настроек перехвата пакетов и зеркалирования перехваченного трафика с использованием протокола TZSP. Трафик отправлялся на один из девяти внешних IP-адресов с использованием выборочного отфильтровывания запросов на сетевые порты 20, 21 (FTP), 25 (SMTP), 110 (POP3), 144 (IMAP), 161 и 162 (SNMP). Наибольшее число устройств было поражено в России (1628), Иране (637), Бразилии (615), Индии (594) и Украине (544).

На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика, которая была организована через включение прокси Socks4, открытого только для подсети 95.154.216.128/25. Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют. На некоторых устройствах атакующие включили HTTP-прокси и настроили проброс всех запросов к HTTP-прокси на локальную страницу, выводимую при HTTP-ошибке 403. На эту странице был добавлен JavaScript-код для майнинга криптовалюты, загружаемый с сайта coinhive.com. Код оказался нерабочим, так как загрузка данных с coinhive.com также подпадала под установленный атакующими ACL.