Изменив настройки устройств, перенаправлялся весь трафик
Эксперты безопасности из компании Qihoo 360Netlab сообщили об обнаружении новой вредоносной кампании, в ходе которой было инфицировано более 7,5 тыс. маршрутизаторов MikroTik по всему миру, — говорится в докладе.
Атака осуществлена с использованием уязвимости CVE-2018-14847 в компоненте управления Winbox, позволяющей удаленному злоумышленнику обойти аутентификацию и читать произвольные файлы. Проблема была исправлена производителем в апреле текущего года. По данным экспертов, в сети насчитывается порядка 370 тыс. маршрутизаторов MikroTik, уязвимых к атакам с использованием данной проблемы.
По словам исследователей, злоумышленники изменили настройки устройств таким образом, чтобы перенаправлять весь трафик на 9 принадлежащих им внешних IP-адресов.
«Самым используемым является адрес 37.1.207.114. Значительное количество устройств перенаправляет свой трафик именно на него», — отметили эксперты.
Как выяснилось в ходе анализа, злоумышленники проявляют усиленный интерес к портам 20, 21, 25, 110 и 144, которые предназначены для FTP, SMTP, POP3 и IMAP-трафика. Необычным является хищения трафика с портов SNMP (Simple Network Management Protocol) 161 и 162, которые, как правило, игнорируются в ходе подобных кампаний.
Наибольшее количество скомпрометированных устройств зафиксировано в России (1628), Иране (637), Бразилии (615), Индии (594) и Украине (544).
Данная атака направлена на заражение устройств с помощью скрипта для майнинга криптовалют Coinhive.
«Злоумышленники пытались майнить криптовалюту с помощью прокси-трафика с устройств пользователей», — отметили исследователи.
Однако, злоумышленники допустили ошибку и неправильно настроили списки контроля доступа к прокси, заблокировав таким образом все внешние web-ресурсы, в том числе необходимые для майнинга.
