Cu patru luni în urmă, producătorul de routere MikroTik semnala existența unei vulnerabilități care permitea exploatarea acestora pentru minarea de criptomonede. Compania a emis un security patch, însă o parte dintre utilizatori au ignorat vulnerabilitatea.
Ei s-au transformat astfel în mineri de Monero fără a fi conștienți de acest lucru.
Conform cercetătorilor de la SpiderLabs, zeci de mii de routere din Brazilia au fost afectate. Asta după ce au vizitat site-uri infectate cu scriptul Coinhive, iar acum campania de cryptojacking se extinde în toată lumea.
Simon Kenin a descoperit situația la sfârșitul lunii iulie. Concluziona atunci că vulnerabilitatea din routere MikroTik Ethernet și Wi-Fi permite atacatorilor să accese sistemele remotely și să modifice fișierele.
Inițial, infecția afectase 175.000 de routere în Brazilia. Dar o versiune a scriptului a afectat 25.000 de echipamente similare din Republica Moldova, conform analizelor realizate de Troy Mursch. Nu este clar dacă același atacator este responsabil pentru noua etapă a atacului. Astfel numarul total al echipamentelor afectate se ridică la peste 200.000 unităti.
Scripturile Coinhive au fost injectate inițial în paginile web vizitate de utlizatori. Ulterior atacatorul a optat pentru a reduce șansele de detecție prin infectarea paginilor de eroare.
De asemenea, routerele compromise au inclus comenzi de eliminare a scriptului pentru a lăsa urme cât mai discrete.
Deși campania de cryptojacking a fost concentrată în Brazilia, are potențialul de se extinde la nivel internațional. Aceasta deoarece o mare parte din totalul de routere MikroTik nu au fost actualizate cu patch-ul emis de producător.
”Sunt sute de mii de device-uri de acest tip la nivel internațional, utilizate de ISP-uri și diferite organizați și afaceri, iar fiecare router este utilizat de zeci de utilizatori zilnic”
avertizează Simon Kenin.
In concluzie
Atacurile sunt cu atât mai periculoase cu cât afectează site-urile găzduite pe servere ce utilizează echipamente compromise. Creează astfel vulnerabilități pentru utilizatorii care nu sunt conectați direct prin echipamente afectate.
”După cum am menționat, serverele conectat la routerele infectate au posibilitatea de a returna o pagină de eroare infectată cu Coinhive, indiferent de unde sunt vizitate”
semnalează Kenin.