研究人员发现,攻击者更改 MikroTik 路由器配置,将 Coinhive 浏览器密币挖掘脚本注入某段用户web 流量中,从而发动大规模的密币劫持活动。
这次密币劫持活动似乎始于本周,而且在第一阶段中主要活跃于巴西,但随后开始针对位于全球的 MikroTik 路由器。
最先发现攻击的是一位推特昵称为 MalwareHunterBR 的巴西研究员,但随着受影响的路由器数量越来越多,也引发了Trustwave 公司SpiderLabs 研究员 Simon Kenin 的注意。
Trustwave 发布报告称,一名或多名黑客似乎在攻击的第一阶段似乎已攻陷位于巴西的7.2万台左右的 MikroTik 路由器。
Kenin 指出,攻击者利用的是于4月份发现的 MikroTik 路由器 Winbox 组件的 0day 漏洞。虽然当时 MikroTik 在不到一天的时间里就修复了该漏洞,但这并不意味着路由器所有人打上补丁。安全研究员已详细分析了该漏洞,并在 GitHub 上公开发布 PoC。
黑客利用 MikroTik 0day 漏洞
Kenin 指出,攻击者使用其中的一个 PoC 修改通过 MikroTik 路由器的流量,并将 Coinhive 库的副本注入路由器处理的所有页面。
由于攻击者在上周所有的 Coinhive 注入操作中只使用了一个 Coinhive 密钥,因此推断利用该缺陷的人员只有一名。
另外,Kenin 指出,他还发现某些非 MikroTik 用户也受影响。他指出由于某些互联网服务提供商的主网使用了 MikroTik 路由器,因此攻击者设法将恶意 Coinhive 代码注入大量 web 流量中。
另外,Kenin 指出,由于攻击执行方法不同,因此不一定将恶意代码只注入流入用户的流量。例如,如果某网站托管在使用受感染 MikroTik 路由器的本地网络上,那么流向网站的流量也被注入恶意 Coinhive 代码。
黑客变得更加谨慎
但在如此多的流量中注入 Coinhive 非常嘈杂而且惹恼用户,从而引发用户和互联网服务提供商调查问题来源。
攻击者似乎也认识到了这个问题,Kenin 表示在最近的攻击活动中,黑客转变策略,只注入由路由器返回的出错页面中的 Coinhive 脚本。但缩小攻击面并不意味着攻击降级。Trustwave 公司的研究员表示,近期发现攻击传播至巴西之外的地方,而且目前攻击数量已是原来的两倍,已在超过17万台 MikroTik 路由器中增加了 Coinhive 注入。
Kenin 在说到攻击的严重程度时表示,全球互联网服务提供商和多种组织机构和企业使用数万台设备,每台设备每天为数十名甚至数百名用户服务。攻击者很聪明地认为,不选择访客少的小型网站而是找到复杂方式在终端用户计算机上运行恶意软件,就能直接触及源头;运营商级别的路由器设备。即使这种攻击仅在返回出错信息的页面上起作用,但攻击者每天感染的网页数量可能在数百万级别。
攻击范围有可能扩大
从 Shodan 物联网引擎搜索得知,网上存在170多万台 MikroTik 路由器。安全研究员 Troy Mursch 表示,他发现 MikroTik 路由器的流量中被注入第二个 Coinhive 密钥。这一恶意活动触及超过2.5万台,使得受感染设备超过20万台。目前尚不清楚该活动是否由同一个攻击者发动,还是由同一名攻击者在发现 Trustwave 发布的报告之后重新发动的攻击。