安全研究人员发现至少有三个大型恶意软件活动利用数十万个未打补丁的MikroTik路由器在连接到它们的计算机上秘密安装加密货币矿工。总而言之,恶意软件活动已经损害了来自全世界拉脱维亚网络硬件提供商Mikrotik的210,000多台路由器,其感染数量仍在增加。
黑客一直在利用今年4月发现的MikroTik路由器的Winbox组件中的一个已知漏洞,并在发现后的一天内修补,这再一次表明了人们在按时应用安全补丁方面的粗心大意。
安全漏洞可能允许攻击者获得对任何易受攻击的MikroTik路由器的未经身份验证的远程管理访问。
攻击者将攻击javascript代码注入网站中
攻击者正在将Coinhive的Javascript注入用户使用易受攻击的路由器访问的每个网页,最终迫使每台连接的计算机在不知情的情况下为犯罪分子挖掘Monero加密货币。
“攻击者创建了一个自定义错误页面,其中包含CoinHive脚本,如果用户在网页浏览时收到任何类型的错误页面,他们将获得此自定义错误页面,该页面将为攻击者挖掘CoinHive,”
黑客在巴西等地发起攻击
注意到的第一个活动开始于针对巴西的网络设备,黑客或一群黑客攻击了超过183,700台MikroTik路由器。 由于其他黑客也开始利用MikroTik路由器漏洞,该活动正在全球范围内蔓延。 另一位安全研究员也发现了两起类似的恶意软件活动,这些活动感染了25,500和16,000台MikroTik路由器,主要是在摩尔多瓦,使用来自臭名昭着的CoinHive服务的恶意加密货币挖掘代码。
值得注意的是,攻击者一次感染大量设备是明智的,而不是通过使用“复杂的方式”在他们的计算机上运行恶意软件来访问拥有少量访问者或最终用户的网站。
“全球有成千上万的这些(MikroTik)设备,供ISP和不同的组织和企业使用,每台设备每天至少为数十名用户服务,”
对于仍然在其环境中运行易受攻击的MikroTik路由器的用户和网络管理员来说,这是一个很好的警告,尽快修补他们的设备。从4月开始提供的单个补丁“足以阻止这种利用。”
这不是MikroTik路由器第一次成为传播恶意软件的对象。今年3月,一个复杂的APT黑客组织利用MikroTik路由器中未知的漏洞将间谍软件隐蔽地植入受害者的计算机中。