Sigurnosni istraživač Simon Kenin iz kompanije Trustwave
je otkrio napad
na MikroTik rutere, koji je hakerima omogućio da preuzmu kontrolu na više
od 200.000 uređaja. Napad je prvobitno otkriven u Brazilu, a vidljivi su znaci
i globalnog širenja zbog potencijalne dobiti koju bi mogli ostvariti hakeri.
Naime, napad koristi Coinhive skriptu
koja se pokreće na nezaštićenom MikroTik ruteru i omogućava rudarenje
kriptovaluta.
Kompanija MikroTik je bila upoznata sa ovom
ranjivošću uređaja (CVE-2018-14847)
u aprilu ove godine i u roku od jednog dana je
izdala sigurnosno ažuriranje. Suština problema je u tome, što mnogi korisnici
nisu ažurirali svoje uređaje, pa u prvom talasu napada broj zaraženih uređaja
je oko 170.000 kako kaže Simon Kenin,
sigurnosni istraživač iz kompanije Trustwave.
U drugom talasu napada, sigurnosni istraživač Troy Mursch je otkrio da je
zaraženo još oko 25.000 rutera, što u ukupnom zbiru daje broj od preko 200.000
zaraženih MikroTik rutera.
Napadač, koristeći navedenu ranjivost uređaja i
preuzimanjem kontrole nad MikroTik ruterom, kreira proizvoljnu stranicu koja će
se prikazati korisniku kao greška prilikom otvaranja stranice na internetu (error
page). Kad korisnik dobije ovu stranicu, počinje rudarenje sa CoinHive
skriptom. Tvorci ovog napada su se dodatno potrudili, pa postoji i druga
skripta, gdje je dovoljno da se korisnik poveže na bežičnu konekciju na
MikroTik ruteru i da rudarenje odmah počne. Kako bi osigurao kontrolu nad preuzetim
MikroTik ruterom, napadač kreira novog korisnika na uređaju pod nazivom „ftu“.
Sve ovo pokazuje da je napadač veoma dobro poznaje kako MikroTik ruteri
funkcionišu.
Dodatna opasnost, pored rudarenja kriptovaluta,
je što napadač ima potpunu kontrolu nad uređajem, što mu omogućava da pokrene
DDoS napad, špijunira Internet saobraćaj korisnika, izvrši krađu lozinki,
preusmjeri korisnike sa legitimnih stranica na posebno pripremljene stranice za
krađu korisničkog imena i lozinke, izvrši napad na druge uređaje u lokalnoj
mreži korisnika i sl. Kada se uzme u obzir činjenica da MikroTik rutere koriste
Internet provajderi i druge organizacije koje opslužuju stotine hiljada
korisnika na dnevnoj osnovi, dobija se jasna slika o ovom napadu. Posebno
zabrinjava „nevidljivost“ napada koju napadači koriste. Činjenica da je
sigurnosno ažuriranje objavljeno u aprilu ove godine, a da je broj zaraženih
uređaja preko 200.000 i da i dalje raste, govori da ne samo obični korisnici,
već IT administratori ne obraćaju puno pažnje na MikroTik rutere. Korisnici će,
s obzirom na prethodna
iskustva i događaje, čak jedno vrijeme vjerovatno pretpostaviti da su
stranice koje posjećuju inficirane od strane hakera, prije nego što se uopšte posumnjaju
u ruter, što omogućava napadaču da duže ostane ne otkriven.
1. Primijeniti sigurnosno ažuriranje za
MikroTik rutere.
2. Ako koristite rutere neke druge kompanije, preventivno
provjeriti da li postoji dostupno sigurnosno ažuriranje, kako bi se dodatno zaštitili.
INFEKCIJA UREĐAJA:
1. Ukoliko utvrdite ili sumnjate da vam je
uređaj već zaražen, odmah primijenite sigurnosno ažuriranje za MikroTik rutere.
2. Iz preventivnih razloga izvršite promjenu
pristupnih lozinki za sve relevantne resurse.
3. Pokrenite detaljno anti-virusno skeniranje
lokalnih i mrežnih uređaja.