Авторы недавней кампании по массовому взлому роутеров производства MikroTik начали вмешиваться в настройки зараженных устройств с целью переадресации части трафика на свои серверы.

Новую серию атак на роутеры MikroTik исследователи зафиксировали в середине июля. Атакующие получали доступ к сетевым устройствам, используя уязвимость CVE-2018-14847 в Winbox — приложении Windows, предназначенном для управления операционной системой MikroTik RouterOS. Данная брешь позволяет удаленно читать любые файлы в обход аутентификации; вендор выпустил соответствующий патч в апреле.

Целью попыток взлома, затронувших более 200 тыс. роутеров MikroTik, являлся криптоджекинг. Злоумышленники активировали HTTP-прокси и меняли конфигурацию, чтобы перенаправить весь трафик на страницы со ссылкой на скриптовый майнер Coinhive. Однако кампания по скрытной добыче криптовалюты оказалась провальной: манипулируя настройками, взломщики допустили серьезную ошибку. Они задали ACL-контроль таким образом, что он блокировал все внешние веб-ресурсы, в том числе coinhive.com, откуда подгружался майнер.

Поскольку в MikroTik-роутерах предусмотрен захват пакетов и переадресация их на заданный пользователем стрим-сервер, злоумышленники решили собирать трафик с приобщенных к ботнету устройств. Цель новой кампании неизвестна. На настоящий момент эксперты китайской ИБ-компании Qihoo 360 выявили порядка 7,5 тыс. зараженных роутеров MikroTik, на которых весь трафик TZSP (TaZmen Sniffer Protocol) направляется на девять внешних IP-адресов, контролируемых авторами атаки.

Анализ показал, что атакующих больше всего интересуют TCP-порты 20, 21, 25, 110 и 144 (передача данных по протоколам FTP-DATA, FTP, SMTP, POP3 и IMAP соответственно). Примечательно, что переадресация также коснулась мало используемого протокола SNMP (порты 161 и 162). Наиболее активно сбор трафика ведется в России, где в него, по данным Qihoo, вовлечены более полутора тысяч MikroTik-роутеров, а также в Иране, Бразилии, Индии и на Украине.

Кроме того, исследователи обнаружили 239 тыс. IP-адресов, на которых авторы атак активировали Socks4-прокси (на порту 4153) и заставили роутер сообщать его текущий IP на конкретный URL-адрес. Это было сделано для обеспечения постоянного доступа к зараженному устройству, чтобы контролировать его даже после перезагрузки. Использование Socks4 на скомпрометированных MikroTik также позволяет злоумышленникам продолжать поиск новых жертв.

Примечательно, что во всех случаях связь c ботом через Socks4 разрешена лишь для одного блока адресов — 95[.]154[.]216[.]128/25. В этой сети, принадлежащей британскому хостинг-провайдеру, ботоводы преимущественно используют 95[.]154[.]216[.]167. Цель поддержки такой связи пока неясна.

Проведенное экспертами сканирование выявило 1,2 млн. доступных из Интернета устройств MikroTik; из них порядка 370 тыс. в Qihoo признали уязвимыми к эксплойту CVE-2018-14847. Больше всего непропатченных MikroTik обнаружено в Бразилии (42 376) и России (40 742). Во избежание неприятностей пользователям рекомендуется как можно скорее обновить прошивку и проверить активность HTTP-прокси, Socks4-прокси и функций перехвата сетевых пакетов, а также удостовериться в отсутствии злоупотреблений.

Криминальные элементы и ранее пытались использовать роутеры MikroTik в своих интересах. Так, в начале текущего года в Нидерландах были зафиксированы DDoS-атаки с участием ботнета IoTroop, он же Reaper; на тот момент зомби-сеть на 80% состояла из зараженных устройств MikroTik. Через пару месяцев на роутеры этого вендора обратил внимание оператор другого масштабного IoT-ботнета — Hajime. Целью массовых сканов открытых портов, выполняемых ботами, являлась попытка расширить потенциал Hajime посредством эксплуатации уже известных уязвимостей, в том числе CVE-2018-14847.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости, Хакеры