Pesquisadores de segurança desenterraram uma campanha maciça de cryptojacking que tem como alvo os roteadores MikroTik.
MikroTik: Criptojacking Atinge 200.000 Roteadores
A exploração muda a configuração dos roteadores Mikrotik. Uma cópia do script de mineração de criptomoedas é injetada no navegador Coinhive em partes do tráfego web dos usuários.
A campanha parece ter saído do papel esta semana. Em seus primeiros estágios, principalmente ativa no Brasil, mas depois começou a direcionar os roteadores da MikroTik para todo mundo.
O primeiro a identificar os ataques foi um pesquisador brasileiro que leva o nome MalwareHunterBR no Twitter.
Á medida que a campanha gerou mais impacto, também chamou a atenção de Simon Kenin, pesquisador de segurança da Trustwave.
Um relatório que a Trustwave compartilhou, Kenin diz que os hackers podem ter comprometido centenas de milhares de roteadores. Ainda no mesmo relato, cerca de 72.000 roteadores MikroTik no Brasil podem ter sofrido ataques.
Hacker usando MikroTik zero-day de abril de 2018
Kenin diz que o atacante usa uma exploração de Zero-day no componente Winbox dos roteadores MikroTik descoberto em Abril.
A MikroTik corrigiu o Zero-day em menos de um dia, ainda em Abril. Todavia isso não significa necessariamente que os proprietários de roteadores aplicaram o patch necessário.
Em vez disso, o antigo Zero-day foi dissecado por pesquisadores de segurança, e o código público de prova de conceito (PoC) apareceu em vários lugares no GitHub [ 1 , 2 ].
De acordo com Kenin, o atacante usou um desses PoCs para alterar o tráfego passando pelo roteador MikroTik. Assim ele consegue injetar uma cópia da biblioteca Coinhive dentro de todas as páginas servidas pelo roteador.
Sabemos que é apenas um agente de ameaça explorando essa falha, porque o invasor usou apenas uma chave Coinhive para todas as injeções que ele executou durante a semana passada.
Além disso, Kenin diz que ele também identificou alguns casos em que usuários não MikroTik também foram impactados.
Ele diz que isso estava acontecendo porque alguns ISPs brasileiros estavam usando os roteadores MikroTik para sua rede principal. Portanto o invasor conseguiu injetar o código malicioso em uma grande quantidade de tráfego na web.
Além disso Kenin diz que devido à forma como o ataque foi realizado, a injeção funcionou nos dois sentidos. Ou seja, não necessariamente apenas para o tráfego que vai para o usuário.
Por exemplo, se um site fosse hospedado em uma rede local atrás de um roteador MikroTik afetado, o tráfego para esse site também seria injetado com a biblioteca Coinhive.
Hacker tornou-se mais cuidadoso, encolhendo a operação
Mas injetar Coinhive em muito tráfego é muito barulhento e tende a incomodar os usuários, o que poderia levar usuários e ISPs a investigar a origem do problema.
O atacante também parece ter entendido esse problema, e Kenin diz que em ataques recentes, o hacker trocou de tática e apenas injetou o script Coinhive em páginas de erro retornadas pelos roteadores.
Mas encolher sua superfície de ataque não parece ser um downgrade para o atacante.
O pesquisador da Trustwave diz que nos últimos dias ele viu o ataque se espalhar para fora do Brasil.
Agora mais do que dobrou os números iniciais, tendo alterado as configurações e adicionado a injeção Coinhive em mais de 170.000 roteadores MikroTik .
“Deixe-me enfatizar o quão ruim é esse ataque”, diz Kenin. “Existem centenas de milhares desses dispositivos em todo o mundo, usados ??por ISPs e diferentes organizações e empresas, cada dispositivo atende pelo menos dezenas, se não centenas de usuários diariamente.”
“O invasor sabiamente pensou que, em vez de infectar sites pequenos com poucos visitantes, ou encontrar formas sofisticadas de executar malware em computadores de usuários finais, eles iriam direto para a fonte; dispositivos roteadores de nível de operadora”, acrescentou.
“Mesmo que esse ataque funcione somente em páginas que retornam erros, ainda estamos falando sobre potencialmente milhões de páginas diárias para o invasor.”
O ataque tem espaço para crescer
Uma consulta no mecanismo de pesquisa Shodan IoT revela que há mais de 1,7 milhão de roteadores MikroTik disponíveis on-line.
O pesquisador de segurança Troy Mursch disse que descobriu uma segunda chave Coinhive sendo injetada no tráfego dos roteadores MikroTik.
Esta campanha atingiu mais de 25.000 roteadores, elevando o total para mais de 200.000, já que a primeira chave Coinhive agora era usada em mais de 175.000 dispositivos.
Não está claro se esta segunda campanha está sendo orquestrada por outro hacker. Opicionalmente o autor mudou para uma nova chave depois que a Trustwave expôs sua primeira operação.