Koparki kryptowalut trafiają na urządzenia IoT, głównie w Brazylii i w Rosji

Według tego wpisu z 1 sierpnia 2018 roku, 200 tysięcy routerów w Brazylii zostało narażonych na szwank, by dostarczyć na nie złośliwy skrypt kopiący kryptowalutę Monero (XMR). Hakerzy zarazili zagrożone urządzenia MikroTik poprzez wstrzykiwanie skryptów CoinHive na strony internetowe routerów w celu przeprowadzenia masowego ataku koparek. Zespół badawczy IDS/IPS w Quick Heal Security Labs obserwował atak i wkrótce zaczął zagłębiać się w telemetrię, aby znaleźć ślady ataku. Wysiłek związany z wyszukiwaniem danych naprowadził ich na trop ataków obserwowanych u naszych klientów, które zostały całkowicie zablokowane przez rozwiązanie IDS/IPS Quick Heal.

Dane telemetryczne zarejestrowały trafienia dla sygnatur IDS/IPS z okresu od 30 lipca do 4 sierpnia. Nie widzieliśmy ataków po 4 sierpnia. Uważamy, że zainfekowane routery zostały oczyszczone i naprawione pod kątem wrażliwości, która doprowadziła do ataku.

Dostęp do przejętych adresów URL miał typową strukturę:

http: //<adres IP routera>/<losowy ciąg>.php

Przykładowy zestaw adresów URL odebrany w telemetrii wygląda jak poniżej.

W czasie analizy zaatakowane strony nie dostarczały kodu wywołującego koparkę kryptowaluty, ponieważ większość z nich była niedostępna. Typowy wstrzykiwany plik CoinHive JavaScript wygląda następująco:

Poniżej przedstawiono „odcisk palca” jednego z routerów, który wyraźnie wskazuje, że urządzenie to MikroTik.

Najbardziej dotkniętym państwem była Brazylia, a za nią Rosja. Widzieliśmy także wpływ na takie kraje, jak Wietnam, Republika Mołdowy i Stany Zjednoczone.

Pokazuje to intensywność zmasowanego ataku na routery, który z kolei mógłby wpłynąć na wielu użytkowników. Pokazuje to także znaczenie łatania znanych luk w zabezpieczeniach. Pojawia się wyzwanie, aby zaktualizować routery lub urządzenia IoT, ale zdecydowanie zalecamy zapoznanie się z procesem aktualizacji różnych urządzeń IoT i regularne aktualizowanie ich za pomocą najnowszych poprawek. Mimo że MikroTik wydał poprawkę na tę lukę w kwietniu 2018 roku, zainfekowane urządzenia nie zostały załatane, co doprowadziło do masowego naruszenia urządzeń. Aby bronić się przed takimi atakami, naprawdę ważne jest łatanie wszelkiego rodzaju urządzeń.

X

FreshMail.pl