Злоумышленники скомпрометировали тысячи роутеров MikroTik для создания ботнета



    Исследователи из компании China's Netlab 360 заявили про обнаружение тысяч зараженных зловредным ПО роутеров, производителем которых является латвийская компания MikroTik. Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы.

    Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет — многие компании и обычные частные пользователи просто не обращают внимание на этот аспект. Что касается общего количества роутеров, то компрометации подверглось около 7,5 тысяч устройств (то, что обнаружили эксперты). Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.

    Злоумышленники собирают данные пользователей взломанных устройств, перенаправляя полученную информацию на свои сервера. К слову, около 239 тысяч роутеров превращены в SOCKS 4 прокси, которые легко доступны.

    Что касается компании MikroTik, то она предоставляет беспроводное оборудование и программное обеспечение для него, поставляя системы как бизнесу, так и частным лицам. Устройства латвийской компании активно используют крупные поставщики сетевых услуг. Больше всего устройств этого производителя физически находится в Бразилии и России. Немало их и в США.

    К слову, китайцы не первые, кто обратил внимание на проблему с роутерами Mirotik — ранее об malware-атаке на эти устройства обратили внимание представители компании Trustwave. Уязвимость в ПО сетевых устройств стала известна после утечки Vault7. Изначально атакующие производили инъекцию Coinhive JavaScrip на страницу ошибки, вшитую в роутер, далее все web-запросы перенаправлялись на эту страницу. Но разработчики первого malware для роутеров ошиблись, и заблокировали доступ к внешним страницам для запросов, которые выполняются уже с использованием взломанного устройства.

    Вторая атака, обнаруженная командой Netlab 360, превратила взломанные сетевые устройства в зловредную прокси-сеть, использующую протокол SOCKS4 для нестандартного TCP порта (4153). И доступ в этом случае открыт только для устройств из очень ограниченного диапазона IP-адресов, 95.154.216.128/25. Практически весь трафик направлялся на 95.154.216.167, адрес, который привязан к хостинг-сервису, который расположен в Великобритании.

    Пока что неясно, для чего именно используются взломанные ротуеры. Возможно, для того, чтобы заниматься поиском других уязвимых устройств.

    Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов. 7500 скомпрометированных роутеров, о которых говорилось выше, перенаправляли сетевой трафик, в основном, FTP и e-mail. Также замечено небольшое количество данных, связанных с удаленным управлением сетевыми устройствами, но для узкой выборки IP. Большинство пакетов данных направляются на IP провайдера из Белиза.



    Это не единственная атака такого рода. В прошлом месяце стало известно о группе злоумышленников, которая эксплуатировала уязвимость в роутерах другого производителя — Dlink. В этом случае киберпреступники могли удаленно изменять настройки DNS-сервиса роутера для того, чтобы перенаправлять пользователя устройства на ресурс, который создан самими хакерами.

    Уязвимости подвержены такие модели роутеров, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Выше уже говорилось, что за обновлением ПО роутеров мало кто следит, кроме организаций, где это критически важно (и то, не всегда), так что скомпрометированные роутеры могут работать в течение очень долгого времени без обнаружения проблемы. Августовская атака на Dlink была направлена на клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco.

    Злоумышленники подделывали сайты банков и перенаправляли пользователей на копии. В результате ничего не подозревающие жертвы вводили данные доступа и тем самым передавали эту информацию киберпреступникам.
    Поделиться публикацией
    Комментарии 11
      –1
      Больше всего устройств этого производителя физически находится в Бразилии и России.

      Надеюсь Yota их не поставляет.

      +1
      Очень странное употребление слова «скомпрометировать» в заголовке.
      Рассчитывал в тексте увидеть обоснование малопригодности роутеров MikroTik для создания ботнета.
        0
        Про Fritz!Box (AVM) ничего не слышно?
        Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.
        Политика «принудительного обновления» MikroTik чужда?
          +3
          Да, давайте принудительно обновлять роутеры удалённо без ведома хозяина.
          +2
          Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы.

          Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет


          А при чем тут MikroTik, подставьте в статью название любого вендора — получится та же история.

            +3

            Забавный случай — это уже, если не ошибаюсь, пятая статья с упором на одну и ту же давно закрытую уязвимость.

              0
              О закрытии ее говорится в самой статье. Но она не становится от этого менее актуальной.
                +1
                marks не выполнил вчера план по буквам потому что.
                Поэтому что было — тем и добил.
                +1
                при этом для эксплуатации уязвимости нужно чтоб наружу (ну или на том интерфейсе, с которого пришёл кульхацкер) был открыт винбокс.
                если винбокс снаружи закрыт, а внутри сеть защищена другими способами, но прошивку можно и не обновлять.

                да, зато если забыл пароль от админки (или нехороший админ свалил и не передал) на прошивках без фикса удобно восстанавливать пароль ^_^
                0
                Немного некореектно сформулирован пункт:
                Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов.


                TZSP — протокол, используемый Mikrotik'ом при реализации функционала CALEA.

                Wireshark — ПО, способное принять и понять (деинкапсулировать) трафик передаваемый Mikrotik'ом в формате TZSP.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое