هشدار محققان درباره

آلودگی بیش از ۲۰۰ هزار روتر شرکت میکروتیک به بدافزارهای استخراج کننده ارزهای دیجیتالی

محققان امنیتی به تازگی سه کمپین بزرگ بدافزاری کشف کرده‌اند که از صدها هزار روتر آسیب‌پذیر شرکت میکروتیک برای نصب پنهانی استخراج کننده‌های ارز دیجیتالی و اجرای آن روی کامپیوترهایی که به آن‌ها متصل می‌شوند استفاده می‌کنند.

براساس گزارش‌های منتشر شده در مجموع تاکنون ۲۱۰ هزار روتر میکروتیک آسیب‌پذیر شناسایی شده است که در معرض خطر هستند. به گفته محققان این تعداد برآورد اولیه بوده و آمار دستگاه‌های آسیب‌پذیر در حال افزایش است.

این اولین‌بار نیست که روترهای میکروتیک مورد هدف مجرمان سایبری و بدافزارها قرار می‌گیرد. در سراسر دنیا صدها هزار دستگاه میکروتیک وجود دارد که توسط ارائه دهندگان خدمات اینترنتی، سازمان‌ها و کسب‌وکارهای گوناگون مورد استفاده قرار می‌گیرد که هر دستگاه روزانه مورد استفاده ۱۰-۱۰۰ کاربر قرار می‌گیرد.

 

آسیب‌پذیری میکروتیک

به گفته محققان امنیتی، مهاجمان از یک اشکال نرم‌افزاری (Bug) شناخته شده در وین‌باکس (Winbox) برای هک کردن روترهای میکروتیک استفاده می‌کنند. این اشکال امنیتی که با شناسه CVE-2018-14847 شناخته می‌شود، در ماه آوریل سال جاری کشف و پس از چند روز اصلاحیه امنیتی آن منتشر شده است.

اما این مساله به‌خاطر بی‌دقتی مدیران شبکه در نصب اصلاحیه‌های امنیتی مربوط به وین‌باکس و انتشار کدهای سوءاستفاده از این آسیب‌پذیری، باعث شده است که مهاجمان بتوانند از راه دور و با استفاده از یک درخواست تغییر یافته به سمت روتر، مراحل تایید هویت این روترها را دور بزنند و فایل‌های مورد نظر خود را دستکاری کنند.

 

استفاده از استخراج کننده ارز دیجیتال CoinHive

براساس گزارش‌های منتشر شده، مهاجمان در این حملات پس از بدست آوردن دسترسی روترهای آسیب‌پذیر میکروتیک، در صفحات کاربری این روترها اسکریپت‌های استخراج ارز دیجیتال CoinHive تزریق می‌کنند.

استفاده از کلید‌های رمزگشایی (Sitekey) یکسان برای استخراج ارز در تمامی دستگاه‌ها نشان می‌دهد که این روترها برای استخراج ارز برای یک نفر یا گروه به کار گرفته شده‌اند.

 

 

توضیحات بیشتر در:

- Hackers Infect Over 200,000 MikroTik Routers With Crypto Mining Malware
- CVE-2018-14847 Detail