MikroTik.
El que podria haver estat un compromís de llocs web a petita escala va ser un atac massiu de criptojack. Simon Kenin, investigador de seguretat de Trustwave, acabava de tornar de presentar una xerrada a RSA Àsia 2018 sobre ciberdelinqüents i l’ús de criptomonedes per a activitats malicioses. Digueu-ho coincidència, però immediatament després de tornar a la seva oficina, va notar una pujada massiva de CoinHive i, després d’una inspecció posterior, va trobar que s’associava específicament a dispositius de xarxa MikroTik i que estava dirigit fortament al Brasil. Quan Kenin va aprofundir en la investigació d’aquesta ocurrència, va trobar que més de 70.000 dispositius MikroTik van ser explotats en aquest atac, un nombre que des de llavors s’ha elevat a 200.000.
La cerca Shodan de dispositius MikroTik al Brasil amb CoinHive va donar més de 70.000 resultats. Simon Kenin / Trustwave
'Això podria ser una estranya coincidència, però, després d'una inspecció posterior, vaig veure que tots aquests dispositius utilitzaven la mateixa clau de lloc CoinHive, és a dir, que en última instància mina a mans d'una entitat. Vaig buscar la clau de lloc CoinHive que s'utilitzava en aquests dispositius i vaig veure que l'atacant se centrava principalment al Brasil '.
La cerca de Shodan a la clau del lloc CoinHive va demostrar que totes les explotacions estaven cedint al mateix atacant. Simon Kenin / Trustwave
Kenin inicialment va sospitar que l'atac era un exploit de zero dies contra MikroTik, però més tard es va adonar que els atacants explotaven una vulnerabilitat coneguda als routers per dur a terme aquesta activitat. Es va registrar aquesta vulnerabilitat i es va emetre un pedaç el 23 d'abril per mitigar els seus riscos de seguretat, però, com la majoria d'aquestes actualitzacions, la versió va ser ignorada i molts routers funcionaven amb el microprogramari vulnerable. Kenin va trobar centenars de milers d’aquests routers obsolets a tot el món, desenes de milers que va descobrir que eren al Brasil.
Anteriorment, es va trobar que la vulnerabilitat permetia l'execució remota de codi maliciós al router. Aquest últim atac, però, va aconseguir fer un pas més enllà mitjançant l'ús d'aquest mecanisme per 'injectar l'script CoinHive a totes les pàgines web que un usuari va visitar'. Kenin també va assenyalar que els atacants van emprar tres tàctiques que van augmentar la brutalitat de l'atac. Es va crear una pàgina d'error amb respostes a un script CoinHive que executava l'script cada vegada que un usuari es trobava amb un error mentre navegava. A més, l'escriptura va afectar els visitants de diferents llocs web amb o sense els encaminadors MikroTik (tot i que els encaminadors van ser el mitjà d'injectar aquest script en primer lloc). També es va trobar que l'atacant utilitzava un fitxer MiktoTik.php que està programat per injectar CoinHive a totes les pàgines html.
Com que molts proveïdors de serveis d'Internet (ISP) utilitzen els encaminadors MikroTik per proporcionar connectivitat web a gran escala per a les empreses, es considera que aquest atac és una amenaça d'alt nivell que no es va fer per dirigir-se a usuaris desconfiats a casa, sinó per llançar una massiva cop a les grans empreses i empreses. El més és que l'atacant va instal·lar un script 'u113.src' als encaminadors que li va permetre descarregar altres ordres i codi més endavant. Això permet al pirata informàtic mantenir el flux d'accés a través dels encaminadors i executar scripts alternatius en espera en cas que CoinHive bloquegi la clau del lloc original.
Font Trustwave
