Хабрахабр

Злоумышленники скомпрометировали тысячи роутеров MikroTik для создания ботнета

Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы. Исследователи из компании China's Netlab 360 заявили про обнаружение тысяч зараженных зловредным ПО роутеров, производителем которых является латвийская компания MikroTik.

Что касается общего количества роутеров, то компрометации подверглось около 7,5 тысяч устройств (то, что обнаружили эксперты). Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет — многие компании и обычные частные пользователи просто не обращают внимание на этот аспект. К слову, около 239 тысяч роутеров превращены в SOCKS 4 прокси, которые легко доступны. Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.
Злоумышленники собирают данные пользователей взломанных устройств, перенаправляя полученную информацию на свои сервера.

Устройства латвийской компании активно используют крупные поставщики сетевых услуг. Что касается компании MikroTik, то она предоставляет беспроводное оборудование и программное обеспечение для него, поставляя системы как бизнесу, так и частным лицам. Немало их и в США. Больше всего устройств этого производителя физически находится в Бразилии и России.

Уязвимость в ПО сетевых устройств стала известна после утечки Vault7. К слову, китайцы не первые, кто обратил внимание на проблему с роутерами Mirotik — ранее об malware-атаке на эти устройства обратили внимание представители компании Trustwave. Но разработчики первого malware для роутеров ошиблись, и заблокировали доступ к внешним страницам для запросов, которые выполняются уже с использованием взломанного устройства. Изначально атакующие производили инъекцию Coinhive JavaScrip на страницу ошибки, вшитую в роутер, далее все web-запросы перенаправлялись на эту страницу.

И доступ в этом случае открыт только для устройств из очень ограниченного диапазона IP-адресов, 95. Вторая атака, обнаруженная командой Netlab 360, превратила взломанные сетевые устройства в зловредную прокси-сеть, использующую протокол SOCKS4 для нестандартного TCP порта (4153). 216. 154. Практически весь трафик направлялся на 95. 128/25. 216. 154. 167, адрес, который привязан к хостинг-сервису, который расположен в Великобритании.

Возможно, для того, чтобы заниматься поиском других уязвимых устройств. Пока что неясно, для чего именно используются взломанные ротуеры.

Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов. Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Также замечено небольшое количество данных, связанных с удаленным управлением сетевыми устройствами, но для узкой выборки IP. 7500 скомпрометированных роутеров, о которых говорилось выше, перенаправляли сетевой трафик, в основном, FTP и e-mail. Большинство пакетов данных направляются на IP провайдера из Белиза.

В прошлом месяце стало известно о группе злоумышленников, которая эксплуатировала уязвимость в роутерах другого производителя — Dlink. Это не единственная атака такого рода. В этом случае киберпреступники могли удаленно изменять настройки DNS-сервиса роутера для того, чтобы перенаправлять пользователя устройства на ресурс, который создан самими хакерами.

Выше уже говорилось, что за обновлением ПО роутеров мало кто следит, кроме организаций, где это критически важно (и то, не всегда), так что скомпрометированные роутеры могут работать в течение очень долгого времени без обнаружения проблемы. Уязвимости подвержены такие модели роутеров, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Августовская атака на Dlink была направлена на клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco.

В результате ничего не подозревающие жертвы вводили данные доступа и тем самым передавали эту информацию киберпреступникам. Злоумышленники подделывали сайты банков и перенаправляли пользователей на копии.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть