I ricercatori di sicurezza hanno scoperto almeno tre massicce campagne di malware che sfruttano centinaia di migliaia di router MikroTik senza patch per installare segretamente minatori di criptovaluta su computer collegati.
In tutto, le campagne di malware hanno compromesso oltre 210.000 router dal fornitore di hardware di rete lettone Mikrotik in tutto il mondo, con il numero ancora in aumento al momento della scrittura.
Gli hacker hanno sfruttato una vulnerabilità nota nel componente Winbox dei router MikroTik scoperto nell’aprile di quest’anno e rattoppato entro un giorno dalla sua scoperta, che dimostra ancora una volta la negligenza delle persone nell’applicare tempestivamente le patch di sicurezza.
Il difetto di sicurezza può potenzialmente consentire a un utente malintenzionato di ottenere un accesso amministrativo remoto non autenticato a qualsiasi router MikroTik vulnerabile.
La prima campagna, notata dai ricercatori di Trustwave, è iniziata con il targeting di dispositivi di rete in Brasile, dove un hacker o un gruppo di hacker ha compromesso più di 183.700 router MikroTik.
Poiché anche altri hacker hanno iniziato a sfruttare la vulnerabilità dei router MikroTik, la campagna si sta diffondendo su scala globale.
Troy Mursch, un altro ricercatore per la sicurezza, ha identificato due campagne malware simili che infettano 25.500 e 16.000 router MikroTik, principalmente in Moldova, con codice di mining di criptovaluta malevolo dal famigerato servizio CoinHive.
Gli aggressori stanno iniettando il Javascript di Coinhive in ogni pagina Web visitata da un utente che utilizza un router vulnerabile, costringendo infine tutti i computer collegati a criptare l’inconsapevole criptovaluta Monero per i miscredenti.
“L’autore dell’attacco ha creato una pagina di errore personalizzata con lo script CoinHive” e “se un utente riceve una pagina di errore di qualsiasi tipo durante la navigazione web, riceverà questa pagina di errore personalizzata che verrà CoinHive per l’aggressore”, afferma ricercatore Trustwave Simon Kenin.
Ciò che è degno di nota in questa campagna è il modo in cui saggiamente gli aggressori stanno infettando un gran numero di dispositivi alla volta, invece di cercare siti Web con pochi visitatori o utenti finali utilizzando “metodi sofisticati” per eseguire malware sui loro computer.
“Ci sono centinaia di migliaia di questi dispositivi (MikroTik) in tutto il mondo, utilizzati dagli ISP e da diverse organizzazioni e aziende, ogni dispositivo serve almeno decine se non centinaia di utenti al giorno”, ha detto Kenin.
È un buon promemoria per gli utenti e i responsabili IT che utilizzano ancora i router MikroTik vulnerabili nel loro ambiente per applicare le patch ai loro dispositivi il prima possibile. Una singola patch, disponibile da aprile, è “abbastanza per fermare questo sfruttamento nelle sue tracce”.
Questa non è la prima volta che i router MikroTik sono destinati a diffondere malware. Nel marzo di quest’anno, un sofisticato gruppo di hacker APT ha sfruttato vulnerabilità sconosciute nei router MikroTik per inserire di nascosto gli spyware nei computer delle vittime.