MikroTik.
O que poderia ter sido um comprometimento de site em baixa escala foi considerado um ataque maciço de cryptojack. Simon Kenin, pesquisador de segurança da Trustwave, acabara de retornar de uma palestra na RSA Asia 2018 sobre cibercriminosos e o uso de criptomoedas para atividades maliciosas. Chame de coincidência, mas imediatamente após retornar ao seu escritório, ele notou um grande aumento do CoinHive, e após uma inspeção mais aprofundada, ele descobriu que ele estava especificamente associado a dispositivos de rede MikroTik e visava fortemente o Brasil. Quando Kenin se aprofundou na pesquisa desta ocorrência, ele descobriu que mais de 70.000 dispositivos MikroTik foram explorados neste ataque, um número que desde então aumentou para 200.000.
A pesquisa Shodan de dispositivos MikroTik no Brasil com CoinHive produziu mais de 70.000 resultados. Simon Kenin / Trustwave
“Isso pode ser uma coincidência bizarra, mas em uma inspeção mais aprofundada, vi que todos esses dispositivos estavam usando o mesmo sitekey CoinHive, o que significa que todos eles acabam sendo transferidos para as mãos de uma entidade. Procurei a chave do site CoinHive usada nesses dispositivos e vi que o invasor realmente estava focado no Brasil. ”
A pesquisa do Shodan da chave do site CoinHive mostrou que todas as explorações estavam rendendo ao mesmo invasor. Simon Kenin / Trustwave
Kenin inicialmente suspeitou que o ataque fosse uma exploração de dia zero contra o MikroTik, mas depois percebeu que os atacantes estavam explorando uma vulnerabilidade conhecida nos roteadores para realizar essa atividade. Esta vulnerabilidade foi registrada, e um patch foi lançado no dia 23 de abril para mitigar seus riscos de segurança, mas como a maioria dessas atualizações, o lançamento foi ignorado e muitos roteadores estavam operando no firmware vulnerável. Kenin encontrou centenas de milhares desses roteadores desatualizados em todo o mundo, dezenas de milhares que ele descobriu estavam no Brasil.
Anteriormente, a vulnerabilidade permitia a execução remota de código malicioso no roteador. Este último ataque, no entanto, conseguiu dar um passo adiante usando este mecanismo para “injetar o script CoinHive em cada página da web que um usuário visitou”. Kenin também observou que os atacantes empregaram três táticas que aumentaram a brutalidade do ataque. Foi criada uma página de erro com o suporte do script CoinHive, que executava o script sempre que um usuário encontrava um erro durante a navegação. Além disso, o script impactou os visitantes de sites distintos com ou sem os roteadores MikroTik (embora os roteadores fossem o meio de injetar esse script em primeiro lugar). O invasor também utilizou um arquivo MiktoTik.php programado para injetar CoinHive em cada página html.
Como muitos provedores de serviços de Internet (ISPs) usam roteadores MikroTik para fornecer conectividade web em grande escala para empresas, este ataque é considerado uma ameaça de alto nível que não foi feito para atingir usuários desavisados em casa, mas para lançar um enorme golpe para grandes firmas e empresas. Além disso, o invasor instalou um script “u113.src” nos roteadores, o que permitiu que ele baixasse outros comandos e códigos posteriormente. Isso permite que o hacker mantenha o fluxo de acesso através dos roteadores e execute scripts alternativos em espera, caso a chave do site original seja bloqueada pelo CoinHive.
Fonte TrustWave
