Zagrożenie routerów MikroTik

Zagrożenie dla komputerów może pochodzić z różnych stron. Niemniej jednak w pewnych sytuacjach wydawać by się mogło, że wszystko jest pod kontrolą. Rzeczywistość pokazuje, że tak jednakże nie jest. Całkiem niedawno około 200 tysięcy routerów MikroTik uległo atakom, a to wszystko przy okazji kampanii cryptojacking. Osoby zajmujące się bezpieczeństwem udzielili informacji, iż prowadzona jest nowa kampania cryptojackingu. Owa kampania spowodowała, że zainfekowanych zostało ponad 200 000 routerów znakowanych marką MikroTik. Zdarzenie to zostało odnotowane w Brazylii. Hakerzy przejęli systemy i wstrzyknęli złośliwe oprogramowanie o nazwie „Coinhive”. Jest to internetowe narzędzie służące do wykrywania kryptowalut. Celem jest tutaj przeprowadzenie operacji kopiowania określonych kryptowalut przy pomocy danego urządzenia. Złośliwe oprogramowanie bazuje na powszechnie znanej już luki związanej z routerami MikroTik.

Geneza sytuacji

Najnowsze raporty pokazują, że pierwszy etap kampanii kryptowalutowej zaczął się całkiem niedawno, ponieważ miało to miejsce w kilka miesięcy temu. Zhakowanych zostało aż 72 tysiące routerów MikroTik. Do 3 sierpnia zainfekowaniu uległo ponad 200 tysięcy urządzeń.  Mimo tego, że ów atak tyczył się routerów działających nie tylko w Brazylii. Okazuje się, że miało to miejsce także w krajach ościennych. Można wywnioskować, że użytkownicy bądź też podmioty korzystający z routerów marki MikroTik są narażeni na szyfrowanie. Dostrzeżono, że złośliwe oprogramowanie dostało się także do routerów innych marek. Miało to miejsce  na skutek tego, że dostawcy usług internetowych w Kraju Kawy używają zabezpieczeń w swoich głównych sieciach, urządzeń MikroTik.

Luka w urządzeniach Mikro Tik i cryptojacking

Ów atak, o którym mowa,  to skutek wykorzystania luki bezpieczeństwa w Winbox-ie. Mowa jest  o usłudze polegającej na zdalnym zarządzaniu umieszczonej w systemie operacyjnym routerów MikroTik oraz RoutersOS. Przede wszystkim luka ta nie ma typowego identyfikatora CVE i to jest spore zagrożenie. Owa luka została zidentyfikowana w kwietniu roku 2018 i w pewnym zakresie usunięta. Mimo tej aktualizacji, wspomniane routery nadal są zagrożone. Winbox daje możliwość zdalnej konfiguracji urządzeń online. Luka daje hakerom możliwość korzystania z narzędzi, mogących połączyć się z portem Winbox (8291) oraz plikami bazy danych użytkowników systemu z żądaniem dostępu.

W jaki sposób działa cryptojacking?

Wykorzystanie istniejącej luki daje nieautoryzowanemu administratorowi pełen dostęp do wszelkich urządzeń. Daje to możliwość zainstalowania złośliwego oprogramowania Coinhive. Użytkownik może nie być świadomy zagrożenia, a zainfekowanie może nastąpić nawet, gdy nie ma podłączenia do sieci bezprzewodowej jego routera. Pracownicy Trend Micro  porównali ten atak do malware’a Mirai. Mirai – „przyszłość” Jest to złośliwe oprogramowanie, które zamienia urządzenia sieciowe działające w oparciu o system Linux na sterowane w sposób zdalny boty. Mogą być one wykorzystywane, jako pewien element botnetu przy atakach sieciowych na bardzo dużą skalę. Mirai działa w ten sposób, że skanuje on urządzenia, które są narażone na oddziaływanie Internetu. Mowa jest o routerach, kamerach IP czy też cyfrowych rejestratorach wideo. Kolejnym etapem jest wykorzystanie domyślnych danych uwierzytelniających do przejęcia urządzenia.

Zapobieganie zagrożeniom

Niezabezpieczony router to podstawowy błąd. Mimo, że atak tyczy się Brazylii, to jednak zapobieganie atakom jest związane z każdym krajem. Tym samym istotne jest przestrzeganie ogólnych zasad bezpieczeństwa. Jakie są to zasady?

• należy zawsze się upewnić, że router oraz podłączone do urządzenia są aktualizowane i działają właściwie,
• należy wyłączać lub ograniczać działanie przestarzałych wtyczek, rozszerzeń oraz innych elementów oprogramowania, które stanowią potencjalne wejście do sieci,
• należy używać uwierzytelniania wieloetapowego, należy wzmocnić dane logowania do urządzenia,
• należy korzystać z  zabezpieczeń do ochrony sieci – program antywirusowy, analiza behawioralna i heurystyczna, zaawansowany firewall,
• w odniesieniu do małych i średnich organizacji, do dużych korporacji, należy szczegółowo monitorować systemy oraz sieci pod względem nietypowych zachowań w sieci,
• należy dodawać zabezpieczenia na wszystkich warstwach urządzenia działającego w połączeniu z siecią.