Cyberzagrożenia, Ochrona przed złośliwym oprogramowaniem

Fala cryptojackingu – routery MikroTik w poważnym zagrożeniu

Ponad 200 000 routerów marki MikroTik zaatakowanych w kampanii cryptojacking

Badacze od bezpieczeństwa sieci poinformowali kilka dni temu o nowej kampanii cryptojackingu, która zdążyła zainfekować do tej pory ponad 200 tysięcy routerów firmy MikroTik w całej Brazylii. Hakerzy po przejęciu systemów, wstrzykują złośliwą wersję oprogramowania „Coinhive” – internetowego narzędzia do wykrywania kryptowalut – w celu przeprowadzenia operacji kopania kryptowalut za pomocą urządzenia. Jak wiadomo, złośliwe oprogramowanie wykorzystuje znaną już lukę w routerach firmy MikroTik.

Co dokładnie się stało?

Jak wiadomo z najnowszych raportów, pierwsza faza brazylijskiej kampanii kryptowalutowej rozpoczęła się w zeszłym tygodniu i zhakowała 72 tysiące routerów marki MikroTik. Do dnia 3 sierpnia zainfekowanych urządzeń naliczono już ponad 200 tysięcy. Mimo, że atak dotyczył routerów znajdujących się w Brazylii, badacze zauważyli, że ataki rozprzestrzeniły się również poza granicami kraju. Oznacza to, że użytkownicy lub firmy korzystające z podatnych na uszkodzenia routerów marki MikroTik są podatni na szyfrowanie. Jak wiadomo również  z dostępnych informacji, badacze dostrzegli przypadki, w których złośliwym oprogramowaniem zostały dotknięte routery innych marek niż MikroTik. Stało się tak najprawdopodobniej dlatego, że dostawcy usług internetowych (ISP) w Brazylii używają do zabezpieczenia w swoich głównych sieciach, właśnie urządzeń firmy MikroTik.

Jaką lukę w urządzeniach MikroTik wykorzystuje cryptojacking?

Najnowszy atak wykorzystuje lukę bezpieczeństwa w Winbox-ie – usłudze zdalnego zarządzania zawartej w systemie operacyjnym routerów MikroTik, RoutersOS. Luka, która nie ma typowego identyfikatora CVE, została rozpoznana w kwietniu 2018 roku i odpowiedniego załatana. Jednak pomimo kwietniowej aktualizacji, routery w dalszym ciągu są zagrożone.

Winbox umożliwia użytkownikom zdalną konfigurację urządzeń online. Wykorzystanie tej luki przez hakerów pozwala im korzystać z narzędzi, które mogą łączyć się z portem Winbox (8291) i „plikami bazy danych użytkowników systemu z żądaniem dostępu”.

Jak działa cryptojacking?

Pomyślne wykorzystanie luki zapewnia nieautoryzowanemu administratorowi dostęp do urządzeń, umożliwiając mu tym samym zainstalowanie złośliwego oprogramowania Coinhive do każdej odwiedzanej przez użytkownika strony. Użytkownik może zostać dotknięty nawet wtedy, kiedy jest podłączony do sieci bezprzewodowej zagrożonego routera.

Badacze z firmy Trend Micro  porównali działanie brazylijskiego ataku do znanego w środowisku IT malware’a o nazwie Mirai. Mirai – w języku japońskim oznaczające „przyszłość” – to złośliwe oprogramowanie, zamieniające urządzenia sieciowe z systemem Linux w zdalnie sterowane boty, które mogą być wykorzystywane jako część większego botnetu w atakach sieciowych na dużą skalę. Mirai skanuje urządzenia narażone na działanie Internetu (IoT), takie jak routery, kamery IP i cyfrowe rejestratory wideo (DVR). Domyślne dane uwierzytelniające są następnie wykorzystywane do próby ich przejęcia.

W jaki sposób można zapobiec zagrożeniu?

Niezabezpieczony router może stanowić tylko początek epidemii, jaka może dotknąć systemy w celu uzyskania przez hakerów zysku cyberprzestępczego. Mimo, że opisywany atak dotyczy Brazylii, to warto przestrzegać pewnych ogólnych zasad bezpieczeństwa obowiązujących niezależnie od atakowanego kraju.

Co zatem zrobić, aby ochronić swoje urządzenie przed złośliwym oprogramowaniem?

  • upewnij się, że router i podłączone do niego urządzenia są na bieżąco aktualizowane i działają poprawnie,
  • wyłącz lub ogranicz przestarzałe wtyczki, rozszerzenia lub inne składniki oprogramowania, które mogą stanowić punkt wejścia zagrożenia do sieci,
  • używaj uwierzytelniania wieloskładnikowego – wzmocnisz przez to dane logowania do urządzenia,
  • korzystaj z  zabezpieczeń do ochrony sieci, takich jak: program antywirusowy z modułami do analizy behawioralnej i heurystycznej, zaawansowany firewall, czy UTM Next-Gen – chroniący Twoje urządzenia przed zaawansowanymi atakami typu zero-day czy ransomware,
  • w przypadku mniejszych, średnich organizacji i większych korporacji aktywnie i szczegółowo monitoruj systemy i sieci pod kątem nietypowych zachowań w ruchu sieciowym,
  • dodawaj zabezpieczenia we wszystkich warstwach urządzeń podłączonych do sieci i stosuj wszelkie środki zaradcze (np. korzystając z protokołów HTTPS, podczas przeglądania Internetu).

 

 

 

Żródło: Trend Micro 

 

 

 

 




Dodaj komentarz

avatar
  Subscribe  
Powiadom o