MikroTik.
Düşük ölçekli bir web sitesi güvenliği ihlali olabilecek şeyin, büyük bir cryptojack saldırısı olduğu bulundu. Trustwave'de bir güvenlik araştırmacısı olan Simon Kenin, RSA Asia 2018'de siber suçlular ve kötü amaçlı faaliyetler için kripto para kullanımı hakkında bir konuşma yapmaktan yeni döndü. Bunu tesadüf olarak adlandırın, ancak ofisine döndükten hemen sonra, büyük bir CoinHive dalgası olduğunu fark etti ve daha fazla inceleme üzerine, özellikle MikroTik ağ cihazlarıyla ilişkili olduğunu ve Brezilya'yı hedef aldığını gördü. Kenin bu olayla ilgili araştırmayı daha derinlemesine incelediğinde, bu saldırıda 70.000'den fazla MikroTik cihazının kullanıldığını gördü, bu sayı o zamandan beri 200.000'e yükseldi.
CoinHive ile Brezilya'da MikroTik cihazlarının Shodan araması 70.000'den fazla sonuç verdi.
'Bu tuhaf bir tesadüf olabilir, ancak daha ayrıntılı bir incelemede tüm bu cihazların aynı CoinHive sitekey'i kullandığını gördüm, bu da sonuçta hepsinin tek bir varlığın eline geçtiği anlamına geliyor. Bu cihazlarda kullanılan CoinHive site anahtarını aradım ve saldırganın aslında esas olarak Brezilya'ya odaklandığını gördüm. '
CoinHive site anahtarının Shodan araması, tüm istismarların aynı saldırgana verildiğini gösterdi. Simon Kenin / Trustwave
Kenin başlangıçta saldırının MikroTik'e karşı bir sıfır gün istismarı olduğundan şüphelenmişti, ancak daha sonra saldırganların bu etkinliği gerçekleştirmek için yönlendiricilerdeki bilinen bir güvenlik açığından yararlandığını fark etti. Bu güvenlik açığı kaydedildi ve güvenlik risklerini azaltmak için 23 Nisan'da bir yama yayınlandı, ancak bu tür güncellemelerin çoğu gibi, sürüm de göz ardı edildi ve birçok yönlendirici savunmasız bellenim üzerinde çalışıyordu. Kenin, dünya çapında yüzbinlerce bu tür modası geçmiş yönlendirici buldu, on binlerce Brezilya'da olduğunu keşfetti.
Daha önce, güvenlik açığının yönlendiricide uzaktan kötü amaçlı kod yürütülmesine izin verdiği görülüyordu. Ancak bu son saldırı, 'CoinHive komut dosyasını bir kullanıcının ziyaret ettiği her web sayfasına enjekte etmek' için bu mekanizmayı kullanarak bunu bir adım daha ileri götürmeyi başardı. Kenin ayrıca saldırganların saldırının acımasızlığını artıran üç taktik uyguladıklarını da kaydetti. Bir kullanıcı gezinirken bir hatayla karşılaştığı her seferinde komut dosyasını çalıştıran CoinHive komut dosyası destekli bir hata sayfası oluşturuldu. Buna ek olarak, komut dosyası, MikroTik yönlendiricileri olan veya olmayan farklı web sitelerine gelen ziyaretçileri etkiledi (yönlendiriciler ilk etapta bu komut dosyasını enjekte etmenin yolu olsa da). Saldırganın ayrıca CoinHive'ı her html sayfasına enjekte etmek için programlanmış bir MiktoTik.php dosyası kullandığı tespit edildi.
Birçok İnternet Servis Sağlayıcısı (İSS), işletmeler için kitlesel ölçekte web bağlantısı sağlamak için MikroTik yönlendiricileri kullandığından, bu saldırı, evdeki şüpheli olmayan kullanıcıları hedeflemek için yapılmamış, ancak çok büyük büyük firma ve işletmelere darbe. Dahası, saldırgan, yönlendiricilere, daha sonra diğer komutları ve kodları indirmesine izin veren bir 'u113.src' komut dosyası yüklemiş. Bu, korsanın yönlendiriciler aracılığıyla erişim akışını sürdürmesine ve orijinal site anahtarının CoinHive tarafından engellenmesi durumunda yedek alternatif komut dosyaları çalıştırmasına olanak tanır.
Kaynak TrustWave
