MikroTik Router แสนกว่าเครื่องถูกฝังมัลแวร์ Cryptocurrency

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

นักวิจัยด้านความปลอดภัยค้นพบการโจมตีแบบ Cryptojacking ที่ตั้งเป้าโจมตีไปยัง MikroTik Router มากกว่า 170,000 เครื่อง เพื่อทำการขุดเหมืองดิจิทัล บนเว็บไซต์ที่มีการเชื่อมต่ออินเทอร์เน็ตจาก Router ดังกล่าว ซึ่งผู้ใช้งานในประเทศบราซิลจำนวนมากได้รับผลกระทบ โดยการโจมตีดังกล่าวทำได้โดยการสร้างกองทัพเพื่อทำการขุดทำเหมืองดิจิทัลแบบ Botnet และกองทัพ Botnet เหล่านี้จะถูกใช้เพื่อแพร่กระจายมัลแวร์ไปยังอุปกรณ์ที่ถูกโจมตี

ตามโพสต์ที่นักวิจัยด้านความปลอดภัยกล่าวนั้นคือ ทางบริษัทได้ทำการแก้ไขช่องโหว่แล้วในเดือนเมษายน 2018 ซึ่งช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเข้าถึง MikroTik Router ได้โดยไม่ได้รับอนุญาต หลังจากแก้ไขข้อบกพร่องแล้วนักวิจัยด้านความปลอดภัยได้ประกาศ PoC (proof-of-concept) เพื่ออธิบายถึงวิธีการเข้าถึงอุปกรณ์ MikroTik Router โดย PoC ถูกเขียนขึ้นใน Python ซึ่งถูกใช้โดยแฮกเกอร์ในการติดตั้งโค้ดที่ใช้สำหรับขุดเหมืองดิจิทัลลงใน Router ดังนั้นเมื่อผู้ใช้พยายามเข้าถึงอินเทอร์เน็ตโดยใช้พร็อกซีของ MikroTik จะพบข้อผิดพลาดจาก HTTP เนื่องจาก Javascript ของ CoinHive ได้รับการฝังเข้าไปในหน้าเว็บที่ผู้ใช้เข้าถึงผ่านทาง Router ที่ถูกโจมตี

ช่องโหว่นี้ถูกใช้ในการโจมตีอย่างน้อยสามครั้งโดยครั้งแรกมีผลกระทบกับ Router ของผู้ใช้งานถึง 183,700 ตัว การโจมตีสองครั้งต่อมาได้ส่งผลกระทบต่อ Router 16,000 และ 25,000 ตัว ในประเทศมอลโดวตามลำดับ นั่นหมายความว่าแคมเปญนี้ไม่ได้จำกัดการโจมตีเฉพาะสถานที่ตั้งทางภูมิศาสตร์ นักวิจัยด้านความปลอดภัยแนะนำให้ผู้ใช้ MikroTik Router ทำการอัพเดตแพตช์ เนื่องจากเหล่าแฮกเกอร์กำลังล่าหา Router ที่ยังไม่ได้รับการอัปเดต เพื่อนำมาใช้เป็นเครื่องมือ

การค้นพบการโจมตีดังกล่าวเป็นผลมาจากการตรวจสอบของ MikroTik ที่ตรวจพบข้อบกพร่องด้านความปลอดภัยผ่านทาง Admin Port นั่นทำให้สามารถขโมยข้อมูล ไฟล์ฐานข้อมูลของผู้ใช้ได้ซึ่งถือว่าวิกฤตมาก เพราะว่า Mikro Tik เก็บฐานข้อมูลผู้ใช้เป็นข้อความธรรมดาที่ไม่เข้ารหัส

นักวิจัยกล่าวว่าแฮกเกอร์ได้ทำการแทนที่ไฟล์ errror.thml ของ web proxy ใน MikroTik ที่จะถูกเรียกใช้ก็ต่อเมื่อมีเกิดข้อผิดพลาดที่เกี่ยวกับ Proxy ดังนั้นผู้ใช้งานจะถูกแอบขุดเหมืองไปเรื่อย ๆ เมื่อเข้าหน้าเว็บไซต์ผ่านพร็อกซีของ MikroTik  จนกว่าจะออกจากเบราว์เซอร์

จากข่าวจะเห็นว่า ไม่ว่าจะเป็นผู้ใช้ MikroTik หรือ Router เจ้าอื่น ๆ การโจมตีดังกล่าวก็สามารถเกิดขึ้นได้จากช่องโหว่ของตัว Router นั้น ๆ ซึ่งผู้ใช้อินเทอร์เน็ตบ้าน หรือ ผู้ที่ต้องดูแลระบบเครือข่ายอินเทอร์เน็ตสำนักงานควรอัปเดตข่าวสารความปลอดภัยอยู่เสมอ เพื่อป้องกันตนเองไม่ให้ตกเป็นเหยื่อของอาชญากรรมทางไซเบอร์ในรูปแบบนี้

ข่าวจาก: https://www.hackread.com/mikrotik-routers-hit-by-cryptocurrency-malware/

บทความที่เกี่ยวข้อง