Fala cryptojackingu - routery MikroTik w poważnym zagrożeniu

Ponad 200 000 routerów marki MikroTik zaatakowanych w kampanii cryptojacking

Badacze od bezpieczeństwa sieci poinformowali kilka dni temu o nowej kampanii cryptojackingu. Zdążyła ona zainfekować do tej pory ponad 200 tysięcy routerów firmy MikroTik w całej Brazylii. Hakerzy po przejęciu systemów, wstrzykują złośliwą wersję oprogramowania "Coinhive". Jest to internetowe narzędzie do wykrywania kryptowalut - w celu przeprowadzenia operacji kopania kryptowalut za pomocą urządzenia. Jak wiadomo, złośliwe oprogramowanie wykorzystuje znaną już lukę w routerach firmy MikroTik.

Co dokładnie się stało?

Jak wiadomo z najnowszych raportów, pierwsza faza brazylijskiej kampanii kryptowalutowej rozpoczęła się w zeszłym tygodniu i zhakowała 72 tysiące routerów marki MikroTik. Do dnia 3 sierpnia zainfekowanych urządzeń naliczono już ponad 200 tysięcy. Mimo, że atak dotyczył routerów znajdujących się w Brazylii, badacze zauważyli, że ataki rozprzestrzeniły się również poza granicami kraju. Oznacza to, że użytkownicy lub firmy korzystające z podatnych na uszkodzenia routerów marki MikroTik są podatni na szyfrowanie. Jak wiadomo również z dostępnych informacji, badacze dostrzegli przypadki, w których złośliwe oprogramowanie zainfekowało routery innych marek niż MikroTik. Stało się tak najprawdopodobniej dlatego, że dostawcy usług internetowych (ISP) w Brazylii używają do zabezpieczenia w swoich głównych sieciach, właśnie urządzeń firmy MikroTik.

Jaką lukę w urządzeniach MikroTik wykorzystuje cryptojacking?

Najnowszy atak wykorzystuje lukę bezpieczeństwa w Winbox-ie - usłudze zdalnego zarządzania zawartej w systemie operacyjnym routerów MikroTik, RoutersOS. Luka, która nie ma typowego identyfikatora CVE, została rozpoznana w kwietniu 2018 roku i odpowiedniego załatana. Jednak pomimo kwietniowej aktualizacji, routery w dalszym ciągu są zagrożone. Winbox umożliwia użytkownikom zdalną konfigurację urządzeń online. Wykorzystanie tej luki przez hakerów pozwala im korzystać z narzędzi,

które mogą łączyć się z portem Winbox (8291) i "plikami bazy danych użytkowników systemu z żądaniem dostępu".

Jak działa cryptojacking?

Pomyślne wykorzystanie luki zapewnia nieautoryzowanemu administratorowi dostęp do urządzeń. Umożliwia mu tym samym zainstalowanie złośliwego oprogramowania Coinhive do każdej odwiedzanej przez użytkownika strony. Użytkownik może zostać dotknięty nawet wtedy, kiedy jest podłączony do sieci bezprzewodowej zagrożonego routera. Badacze z firmy Trend Micro porównali działanie brazylijskiego ataku do znanego w środowisku IT malware'a o nazwie Mirai. Mirai - w języku japońskim oznaczające "przyszłość". To złośliwe oprogramowanie, które zamienia urządzenia sieciowe z systemem Linux w zdalnie sterowane boty, mogące być wykorzystywane w atakach sieciowych na dużą skalę. Mirai skanuje urządzenia narażone na działanie Internetu (IoT), takie jak routery, kamery IP i cyfrowe rejestratory wideo (DVR). Domyślne dane uwierzytelniające są następnie wykorzystywane do próby ich przejęcia.

W jaki sposób można zapobiec zagrożeniu?

Niezabezpieczony router może stanowić tylko początek epidemii, jaka może dotknąć systemy w celu uzyskania przez hakerów zysku cyberprzestępczego. Mimo, że opisywany atak dotyczy Brazylii, to warto przestrzegać pewnych ogólnych zasad bezpieczeństwa obowiązujących niezależnie od atakowanego kraju.

Co zatem zrobić, aby ochronić swoje urządzenie przed złośliwym oprogramowaniem?

• upewnij się, że router i podłączone do niego urządzenia są poddawane aktualizacji i działają poprawnie,
• wyłącz lub ogranicz przestarzałe wtyczki, rozszerzenia lub inne składniki oprogramowania, które mogą stanowić punkt wejścia zagrożenia do sieci,
• używaj uwierzytelniania wieloskładnikowego - wzmocnisz przez to dane logowania do urządzenia,
• korzystaj z zabezpieczeń do ochrony sieci, takich jak: program antywirusowy z modułami do analizy behawioralnej i heurystycznej, zaawansowany firewall, czy UTM Next-Gen - chroniący Twoje urządzenia przed zaawansowanymi atakami typu zero-day czy ransomware,
• w przypadku mniejszych, średnich organizacji i większych korporacji aktywnie i szczegółowo monitoruj systemy i sieci pod kątem nietypowych zachowań w ruchu sieciowym,
• dodawaj zabezpieczenia we wszystkich warstwach urządzeń podłączonych do sieci i stosuj wszelkie środki zaradcze (np. korzystając z protokołów HTTPS, podczas przeglądania Internetu).

Żródło: Trend Micro