مرکز امنیت و‌ رخدادهای‌ سایبری | APK

سوء استفاده‌ی هکرها از نقص امنیتی روترهای MikroTik

سوء استفاده‌ی هکرها از نقص امنیتی روترهای MikroTik

در نتیجه‌ی اقدامات خلافکاران سایبری بیش از 7.500 روتر MikroTik دچار نقص امنیتی شدند. این خلافکاران سایبری با فعالسازی پروکسی Socks4 به‌منظور Redirect نمودن ترافیک کاربران به وب‌سایت‌های حاوی بدافزار تحت کنترل خود، دست به Web Mining و دیگر حملات زدند.

در حال حاضر تأیید شده است که مجموعاً بر روی 239 هزار IP پروکسی، Socks4 به‌صورت بدافزار فعال شده است و مهاجم به‌طور مداوم به کمک این پروکسی Socks4 درحال اسکن نمودن دستگاه‌های MikroTik RouterOS می‌باشد.

پیش‌تر خلاف‌کاران سایبری بیش از 150 هزار روتر MikroTik را با حمله‌ی گسترده‌ی CoinHive Cryptojacking آلوده نموده و از کلیدِ سایت(Certificate) ، جهت بررسی نمودن Cryptocurrency استفاده کردند.

شرکت MikroTik به‌منظور فراهم آوردن دسترسی به اینترنت، در سرتاسر جهان خدمات سخت‌افزاری و نرم‌افزاری ارائه می‌دهد و همچنین یک نرم‌افزار RouterOS نیز ایجاد نموده است.

در این حمله، یک مهاجم به تنهایی در فعالسازی پروکسی Socks4 بر روی دستگاه‌های قربانیان دخیل بوده و شمار قربانیان نیز رو به افزایش است، چرا که مهاجم پیوسته در تلاش برای ادامه‌ی حمله‌ی خود است.

حملات قدیمی‌تر بر روی Routerهای این کمپانی، همچون ابزار هک Vault7 متعلق به سازمان سیا با نام Chimay Red محتوی دو Exploit بودند و بدافزار دیگری نیز از آسیب‌پذیری CVE-2018-14847 به‌منظور اعمال فعالیت‌های مخرب متفاوت، سوء استفاده نموده است.

براساس نتایج اسکن، محققان بیش از 5 میلیون دستگاه با پورت TCP/8291 باز شناسایی نمودند و تعداد یک میلیون و 200 هزار عدد آن‌ها دستگاه‌های آلوده‌ی MikroTik بودند که از این شمار تعداد 370 هزار (یعنی 30.83%) دستگاه‌هایی با آسیب‌پذیری CVE-2018-14847 بودند که این بدین معنی است که کاربران دستگاه‌های خود را با Patchی که برای رفع این آسیب‌پذیری منتشر شده بود، به‌روزرسانی نکرده‌اند.

نحوه انجام حملات به روترهای MikroTik

هنگامی‌که مهاجم پروکسی HTTP متعلق به MikroTik RouterOS را با سوءاستفاده از آسیب‌پذیری CVE-2018-14847 فعال نماید، پروکسی HTTP دستگاه قربانی درخواستی مبنی بر Redirect نمودن ترافیک به یک HTTP 403 Error Page صادر می‌نماید.

این Error Page شامل یک لینک محتوی کدهای Web Mining متعلق به CoinHive می‌باشد که مهاجمان از طریق آن عملیات Web Mining خود را انجام می‌دهند.

حمله‌ی دیگری نشانگر این است که مهاجم پروکسی Socks4 یا پورت TCP/4153 را بر روی دستگاه قربانی فعال ساخته و پیکربندی پروکسی Socks4 را طوری تنظیم نموده است که تنها به یک Net-Block واحد یعنی 95.154.216.128/25 اجازه‌ی دسترسی بدهد.

حتی اگر کاربران دستگاه خود را Reboot نمایند، مهاجم از این ترفند به‌منظور یافتن دسترسی استفاده می‌کند و تمام 239 هزار IP تنها به 95.154.216.128/25 اجازه‌ی دسترسی می‌دهند، درحالی‌که دسترسی باید از 95.154.216.167 صورت بگیرد.

به گفته‌ی NetLab، دستگاه MikroTik RouterOS کاربران را قادر می‌سازد که Packetهای روی روتر را Capture نموده و ترافیک شبکه‌ای Capture شده را به یک سرور Stream مشخص، Forward نمایند.

درحال حاضر جمعاً تعداد 7.5 هزار IP از دستگاه‌های MikroTik RouterOS توسط مهاجم آلوده گردیده‌اند و ترافیک TZSP آن‌ها به تعدادی Collecting IP ارسال می‌گردد.

اکثر ترافیک روترهای آلوده از طریق ترفند Eavesdropping درحال Redirect شدن به 37.1.207.114  می‌باشد و توجه مهاجمان غالباً معطوف به پورت‌های 20, 21, 25, 110 و 143 می‌باشد که هریک به ترتیب به ترافیک FTP-Data، FTP، SMTP، POP3 و IMAP پاسخگو هستند.

مهاجمان بیشتر کشورهای روسیه، ایران، هند، اوکراین و بسیاری از کشورهای دیگر را هدف قرار می‌دهند. از همین‌رو به کاربران MikroTik توصیه می‌شود که هرچه سریع‌تر نرم‌افزار سیستمی MikroTik RouterOS خود را به‌روزرسانی نموده و چک نمایند که آیا از پروکسی HTTP، پروکسی Socks4 و عملکرد Capture نمودن ترافیک شبکه توسط مهاجمان سوء استفاده می‌گردد.

بررسی مهاجمان و Collector IPها

37.1.207.114      AS50673 Serverius Holding B.V.

185.69.155.23     AS200000 Hosting Ukraine LTD

188.127.251.61    AS56694 Telecommunication Systems, LLC

5.9.183.69        AS24940 Hetzner Online GmbH

77.222.54.45      AS44112 SpaceWeb Ltd

103.193.137.211     AS64073 Vetta Online Ltd

24.255.37.1       AS22773 Cox Communications Inc.

45.76.88.43       AS20473 Choopa, LLC

206.255.37.1      AS53508 Cablelynx

95.154.216.167    AS20860 iomart Cloud Services Limited.

اشتراک امنیت

دسته ها