Исследователи из компании China's Netlab 360 заявили про обнаружение тысяч зараженных зловредным ПО роутеров, производителем которых является латвийская компания MikroTik. Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы.
Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет — многие компании и обычные частные пользователи просто не обращают внимание на этот аспект. Что касается общего количества роутеров, то компрометации подверглось около 7,5 тысяч устройств (то, что обнаружили эксперты). Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.
Злоумышленники собирают данные пользователей взломанных устройств, перенаправляя полученную информацию на свои сервера. К слову, около 239 тысяч роутеров превращены в SOCKS 4 прокси, которые легко доступны.
Что касается компании MikroTik, то она предоставляет беспроводное оборудование и программное обеспечение для него, поставляя системы как бизнесу, так и частным лицам. Устройства латвийской компании активно используют крупные поставщики сетевых услуг. Больше всего устройств этого производителя физически находится в Бразилии и России. Немало их и в США.
К слову, китайцы не первые, кто обратил внимание на проблему с роутерами Mirotik — ранее об malware-атаке на эти устройства обратили внимание представители компании Trustwave. Уязвимость в ПО сетевых устройств стала известна после утечки Vault7. Изначально атакующие производили инъекцию Coinhive JavaScrip на страницу ошибки, вшитую в роутер, далее все web-запросы перенаправлялись на эту страницу. Но разработчики первого malware для роутеров ошиблись, и заблокировали доступ к внешним страницам для запросов, которые выполняются уже с использованием взломанного устройства.
Вторая атака, обнаруженная командой Netlab 360, превратила взломанные сетевые устройства в зловредную прокси-сеть, использующую протокол SOCKS4 для нестандартного TCP порта (4153). И доступ в этом случае открыт только для устройств из очень ограниченного диапазона IP-адресов, 95.154.216.128/25. Практически весь трафик направлялся на 95.154.216.167, адрес, который привязан к хостинг-сервису, который расположен в Великобритании.
Пока что неясно, для чего именно используются взломанные ротуеры. Возможно, для того, чтобы заниматься поиском других уязвимых устройств.
Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов. 7500 скомпрометированных роутеров, о которых говорилось выше, перенаправляли сетевой трафик, в основном, FTP и e-mail. Также замечено небольшое количество данных, связанных с удаленным управлением сетевыми устройствами, но для узкой выборки IP. Большинство пакетов данных направляются на IP провайдера из Белиза.
Это не единственная атака такого рода. В прошлом месяце стало известно о группе злоумышленников, которая эксплуатировала уязвимость в роутерах другого производителя — Dlink. В этом случае киберпреступники могли удаленно изменять настройки DNS-сервиса роутера для того, чтобы перенаправлять пользователя устройства на ресурс, который создан самими хакерами.
Уязвимости подвержены такие модели роутеров, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Выше уже говорилось, что за обновлением ПО роутеров мало кто следит, кроме организаций, где это критически важно (и то, не всегда), так что скомпрометированные роутеры могут работать в течение очень долгого времени без обнаружения проблемы. Августовская атака на Dlink была направлена на клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco.
Злоумышленники подделывали сайты банков и перенаправляли пользователей на копии. В результате ничего не подозревающие жертвы вводили данные доступа и тем самым передавали эту информацию киберпреступникам.
