Bốn tháng sau khi một bản vá bảo mật cho các bộ định tuyến MikroTik được phát hành, một vài người dùng của các thiết bị “vô tình” bỏ qua việc sửa chữa lỗ hổng này giờ đây đã trở thành những thợ đào Monero không công.
Được biết đến như CVE-2018-14847 lỗ hổng bảo mật trong bộ định tuyến MikroTik đang bị trục lợi thông qua việc cài đặt các script (tập lệnh) Coinhive khai thác tiền mã hóa trên các trang web mà người dùng truy cập thông qua thiết bị. Theo các nhà nghiên cứu bảo mật mạng tại SpiderLabs, hàng chục ngàn router chưa được vá ở Brazil đã bị ảnh hưởng trước nhất mặc dù con số này đang ngày càng tăng nhanh và lan rộng trên toàn cầu.
Our researcher @Simon_Kenin has discovered a massive #IoT #cryptojacking campaign affecting tens of thousands of unpatched @mikrotik_com routers in Brazil and going global. Read more here: https://t.co/SfIz7KKcnc
— SpiderLabs (@SpiderLabs) August 1, 2018
Lỗ hổng trong bộ định tuyến Wi-Fi và Ethernet MikroTik cho phép bỏ qua giai đoạn xác thực bởi những kẻ tấn công từ xa, những người sau đó có thể đọc và sửa đổi các tệp tùy ý. Nó được phát hiện vào tháng Tư năm nay và nhà sản xuất router đã phát hành một bản vá ngay sau đó.
Đã bắt đầu ở Braxin
Ban đầu, trường hợp Coinhive đầu tiên được phát hiện là đã và đang hoạt động trên 175.000 router chủ yếu ở Brazil nhưng một khóa mới của cùng một script khai thác đã được lén đưa vào các bộ định tuyến và cho đến nay đã ảnh hưởng thêm 25.000 router ở quốc gia Đông Âu Moldova. theo nhà nghiên cứu bảo mật Troy Mursch. Vẫn chưa rõ việc này có cùng kẻ tấn công hay chỉ là một cá nhân bắt chước theo vụ ở Brazil
https://twitter.com/bad_packets/status/1024963272355676160
Ban đầu, các tập lệnh Coinhive đã được lẻn vào tất cả các trang web mà người dùng truy cập. Tuy nhiên, trong một nỗ lực để giảm cơ hội bị phát hiện kẻ tấn công đã chuyển sang chỉ cài đặt các tập lệnh khai thác tiền mã hóa trong các trang lỗi được tùy chỉnh. Các kỹ thuật khác đang được kẻ tấn công sử dụng để tránh bị phát hiện bao gồm việc thực hiện các lệnh “dọn dẹp” sau khi các bộ định tuyến bị phát hiện có mã khai thác, nhằm để lại càng ít dấu vết càng tốt.
Một số lượng lớn các bộ định tuyến MikroTik chưa cài đặt bản vá
Mặc dù chiến dịch cryptojacking chủ yếu nhắm mục tiêu là Brazil, nhưng nó cũng đang lan rộng trên toàn cầu với khả năng xâm nhập nhiều bộ định tuyến MikroTik hơn. Người ta ước tính rằng một số lượng đáng kể các bộ định tuyến MikroTik trên toàn thế giới đã không được vá bốn tháng sau khi bản sửa lỗi bảo mật được phát hành.
“Có hàng trăm ngàn thiết bị trên toàn cầu, được sử dụng bởi các ISP và các tổ chức và doanh nghiệp khác nhau, mỗi thiết bị phục vụ ít nhất là hàng chục nếu không phải là hàng trăm người dùng hàng ngày”, Simon Kenin, một nhà nghiên cứu về bảo mật tại SpiderLabs, viết trong một bài blog.
Ngoài ra, cuộc tấn công hoạt động theo cả hai cách. Vì nó nhắm vào các bộ định tuyến MikroTik dễ bị tấn công nên nó cũng ảnh hưởng đến các trang web được host trên các máy chủ sử dụng các thiết bị bị xâm nhập và do đó người dùng dù không kết nối trực tiếp với các thiết bị bị lây nhiễm từ bất kỳ vị trí địa lý nào cũng vẫn dễ bị ảnh hưởng.
“Như đã đề cập, các máy chủ được kết nối với các bộ định tuyến bị nhiễm cũng sẽ, trong vài trường hợp, trả về một trang lỗi Coinhive cho người dùng đang truy cập các máy chủ đó, bất kể họ truy cập internet ở đâu,” Kenin lưu ý.
Kaspersky Lab cho biết các trường hợp Cryptojacking tăng đột biến 400% trong năm 2018
6 công cụ các hacker sử dụng để đánh cắp tiền mã hóa và cách bảo vệ ví của bạn
Nguồn: Tapchibitcoin.vn/ccn.com
