در نتیجهی اقدامات خلافکاران سایبری بیش از 7.500 روتر MikroTik دچار نقص امنیتی شدند. این خلافکاران سایبری با فعالسازی پروکسی Socks4 بهمنظور Redirect نمودن ترافیک کاربران به وبسایتهای حاوی بدافزار تحت کنترل خود، دست به Web Mining و دیگر حملات زدند.
در حال حاضر تأیید شده است که مجموعاً بر روی 239 هزار IP پروکسی، Socks4 بهصورت بدافزار فعال شده است و مهاجم بهطور مداوم به کمک این پروکسی Socks4 درحال اسکن نمودن دستگاههای MikroTik RouterOS میباشد.
پیشتر خلافکاران سایبری بیش از 150 هزار روتر MikroTik را با حملهی گستردهی CoinHive Cryptojacking آلوده نموده و از کلیدِ سایت(Certificate) ، جهت بررسی نمودن Cryptocurrency استفاده کردند.
شرکت MikroTik بهمنظور فراهم آوردن دسترسی به اینترنت، در سرتاسر جهان خدمات سختافزاری و نرمافزاری ارائه میدهد و همچنین یک نرمافزار RouterOS نیز ایجاد نموده است.
در این حمله، یک مهاجم به تنهایی در فعالسازی پروکسی Socks4 بر روی دستگاههای قربانیان دخیل بوده و شمار قربانیان نیز رو به افزایش است، چرا که مهاجم پیوسته در تلاش برای ادامهی حملهی خود است.
حملات قدیمیتر بر روی Routerهای این کمپانی، همچون ابزار هک Vault7 متعلق به سازمان سیا با نام Chimay Red محتوی دو Exploit بودند و بدافزار دیگری نیز از آسیبپذیری CVE-2018-14847 بهمنظور اعمال فعالیتهای مخرب متفاوت، سوء استفاده نموده است.
براساس نتایج اسکن، محققان بیش از 5 میلیون دستگاه با پورت TCP/8291 باز شناسایی نمودند و تعداد یک میلیون و 200 هزار عدد آنها دستگاههای آلودهی MikroTik بودند که از این شمار تعداد 370 هزار (یعنی 30.83%) دستگاههایی با آسیبپذیری CVE-2018-14847 بودند که این بدین معنی است که کاربران دستگاههای خود را با Patchی که برای رفع این آسیبپذیری منتشر شده بود، بهروزرسانی نکردهاند.
نحوه انجام حملات به روترهای MikroTik
هنگامیکه مهاجم پروکسی HTTP متعلق به MikroTik RouterOS را با سوءاستفاده از آسیبپذیری CVE-2018-14847 فعال نماید، پروکسی HTTP دستگاه قربانی درخواستی مبنی بر Redirect نمودن ترافیک به یک HTTP 403 Error Page صادر مینماید.
این Error Page شامل یک لینک محتوی کدهای Web Mining متعلق به CoinHive میباشد که مهاجمان از طریق آن عملیات Web Mining خود را انجام میدهند.
حملهی دیگری نشانگر این است که مهاجم پروکسی Socks4 یا پورت TCP/4153 را بر روی دستگاه قربانی فعال ساخته و پیکربندی پروکسی Socks4 را طوری تنظیم نموده است که تنها به یک Net-Block واحد یعنی 95.154.216.128/25 اجازهی دسترسی بدهد.
حتی اگر کاربران دستگاه خود را Reboot نمایند، مهاجم از این ترفند بهمنظور یافتن دسترسی استفاده میکند و تمام 239 هزار IP تنها به 95.154.216.128/25 اجازهی دسترسی میدهند، درحالیکه دسترسی باید از 95.154.216.167 صورت بگیرد.
به گفتهی NetLab، دستگاه MikroTik RouterOS کاربران را قادر میسازد که Packetهای روی روتر را Capture نموده و ترافیک شبکهای Capture شده را به یک سرور Stream مشخص، Forward نمایند.
درحال حاضر جمعاً تعداد 7.5 هزار IP از دستگاههای MikroTik RouterOS توسط مهاجم آلوده گردیدهاند و ترافیک TZSP آنها به تعدادی Collecting IP ارسال میگردد.
اکثر ترافیک روترهای آلوده از طریق ترفند Eavesdropping درحال Redirect شدن به 37.1.207.114 میباشد و توجه مهاجمان غالباً معطوف به پورتهای 20, 21, 25, 110 و 143 میباشد که هریک به ترتیب به ترافیک FTP-Data، FTP، SMTP، POP3 و IMAP پاسخگو هستند.
مهاجمان بیشتر کشورهای روسیه، ایران، هند، اوکراین و بسیاری از کشورهای دیگر را هدف قرار میدهند. از همینرو به کاربران MikroTik توصیه میشود که هرچه سریعتر نرمافزار سیستمی MikroTik RouterOS خود را بهروزرسانی نموده و چک نمایند که آیا از پروکسی HTTP، پروکسی Socks4 و عملکرد Capture نمودن ترافیک شبکه توسط مهاجمان سوء استفاده میگردد.
بررسی مهاجمان و Collector IPها
37.1.207.114 AS50673 Serverius Holding B.V.
185.69.155.23 AS200000 Hosting Ukraine LTD
188.127.251.61 AS56694 Telecommunication Systems, LLC
5.9.183.69 AS24940 Hetzner Online GmbH
77.222.54.45 AS44112 SpaceWeb Ltd
103.193.137.211 AS64073 Vetta Online Ltd
24.255.37.1 AS22773 Cox Communications Inc.
45.76.88.43 AS20473 Choopa, LLC
206.255.37.1 AS53508 Cablelynx
95.154.216.167 AS20860 iomart Cloud Services Limited.
