מתקפת כרייה של CoinHive באמצעות נתבי MikroTik משפיעה על למעלה מ- 200,000 מכשירים

חֲדָשׁוֹת
בִּטָחוֹן / מתקפת כרייה של CoinHive באמצעות נתבי MikroTik משפיעה על למעלה מ- 200,000 מכשירים קריאה של 2 דקות

מיקרוטיק.



מה שהיה יכול להיות פשרה לאתר בקנה מידה נמוך נמצא כתקיפה מסיבית של cryptojack. סיימון קנין, חוקר אבטחה ב- Trustwave, חזר זה עתה מהגשת שיחה ב- RSA Asia 2018 על פושעי סייבר ושימוש במטבעות קריפטוגרפיים לפעילויות זדוניות. קרא לזה צירוף מקרים אך מיד לאחר שחזר למשרדו, הבחין בזינוק עצום של CoinHive, ובבדיקה נוספת, הוא מצא שהוא קשור באופן ספציפי להתקני רשת MikroTik וממקד בכבדות לברזיל. כאשר קנין העמיק במחקר של התרחשות זו, הוא מצא כי במתקפה זו נוצלו למעלה מ -70,000 מכשירי MikroTik, מספר שמאז עלה ל -200,000.

חיפוש שודן במכשירי MikroTik בברזיל עם CoinHive הניב 70,000+ תוצאות. שמעון קנין / Trustwave



'זה יכול להיות צירוף מקרים מוזר, אבל בבדיקה נוספת ראיתי שכל המכשירים האלה משתמשים באותה מערכת Sitecy של CoinHive, כלומר בסופו של דבר הם שלי בידי ישות אחת. חיפשתי את מפתח האתר CoinHive המשמש במכשירים אלה, וראיתי שהתוקף אכן התמקד בעיקר בברזיל. '



חיפוש שודן באתר ה- CoinHive הראה שכל המעללים נכנעים לאותו תוקף. סיימון קנין / Trustwave



בתחילה חשד קנין כי ההתקפה היא ניצול של אפס יום נגד מיקרוטיק, אך מאוחר יותר הוא הבין שהתוקפים מנצלים פגיעות ידועה בנתבים לצורך ביצוע פעילות זו. פגיעות זו נרשמה, ותיקון הונפק ב -23 באפריל בכדי להקל על סיכוני האבטחה שלה, אך כמו רוב העדכונים הללו, מההפצה התעלמו ורוטרים רבים פעלו בקושחה הפגיעה. קנין מצא מאות אלפי נתבים מיושנים כאלה ברחבי העולם, עשרות אלפים שגילה היו בברזיל.

בעבר נמצא כי הפגיעות מאפשרת ביצוע קוד זדוני מרחוק בנתב. אולם ההתקפה האחרונה הזו הצליחה לקחת את זה צעד קדימה באמצעות מנגנון זה כדי 'להזריק את סקריפט CoinHive לכל עמוד אינטרנט בו ביקר משתמש.' קנין ציין גם כי התוקפים השתמשו בשלוש טקטיקות שהגבירו את אכזריות ההתקפה. נוצר דף שגיאה מגובה סקריפט CoinHive שהריץ את הסקריפט בכל פעם שמשתמש נתקל בשגיאה במהלך הגלישה. בנוסף לכך, הסקריפט השפיע על מבקרים באתרים נפרדים עם הנתבים של MikroTik או בלעדיהם (אם כי הנתבים היו הדרך להזרקת סקריפט זה מלכתחילה). התוקף נמצא גם מנצל קובץ MiktoTik.php שתוכנת להזריק את CoinHive לכל דף HTML.

מכיוון שספקי שירותי אינטרנט רבים (ISP) משתמשים בנתבים של MikroTik כדי לספק קישוריות לאינטרנט בקנה מידה המוני עבור ארגונים, התקפה זו נחשבת לאיום ברמה גבוהה שלא נועד למקד למשתמשים תמימים בבית אלא להטיל מסיבית. מכה לחברות וארגונים גדולים. יתרה מכך התוקף התקין סקריפט 'u113.src' על הנתבים אשר איפשר לו / לה להוריד פקודות וקוד אחר מאוחר יותר. זה מאפשר להאקר לשמור על זרם הגישה דרך הנתבים ולהריץ סקריפטים חלופיים המתנה למקרה שמפתח האתר המקורי נחסם על ידי CoinHive.



מָקוֹר TrustWave