Router Mikrotik Diserang Oleh CoinHive Mining
Router Mikrotik Diserang Oleh CoinHive Mining. Simon Kenin, seorang peneliti keamanan di Trustwave, baru saja kembali dari presentasi di RSA Asia 2018 tentang penjahat cyber dan penggunaan cryptocurrency untuk aktivitas jahat.
Sebut saja kebetulan tetapi segera setelah kembali ke kantornya, dia melihat lonjakan besar CoinHive, dan setelah diperiksa lebih lanjut, dia menemukan itu secara khusus terkait dengan perangkat jaringan MikroTik dan sangat menargetkan Brasil. Ketika Kenin menggali lebih dalam penelitian tentang kejadian ini, ia menemukan bahwa lebih dari 70.000 perangkat MikroTik dieksploitasi dalam serangan ini, jumlah yang telah meningkat menjadi 200.000.
“Ini bisa menjadi kebetulan yang aneh, tetapi pada pemeriksaan lebih lanjut saya melihat bahwa semua perangkat ini menggunakan kunci situs CoinHive yang sama, yang berarti bahwa mereka semua akhirnya menambang ke tangan satu entitas. Saya mencari kunci situs CoinHive yang digunakan pada perangkat itu, dan melihat bahwa penyerang memang terutama berfokus pada Brasil.”
Kenin awalnya mencurigai serangan tersebut sebagai eksploitasi zero-day terhadap MikroTik, tetapi dia kemudian menyadari bahwa penyerang mengeksploitasi kerentanan yang diketahui di router untuk melakukan aktivitas ini. Kerentanan ini terdaftar, dan tambalan dikeluarkan pada 23 April untuk mengurangi risiko keamanannya tetapi seperti kebanyakan pembaruan semacam itu, rilis diabaikan dan banyak router beroperasi pada firmware yang rentan. Kenin menemukan ratusan ribu router usang seperti itu di seluruh dunia, puluhan ribu yang dia temukan ada di Brasil.
Sebelumnya, kerentanan ditemukan untuk memungkinkan eksekusi kode berbahaya jarak jauh di router. Namun, serangan terbaru ini berhasil mengambil langkah lebih jauh dengan menggunakan mekanisme ini untuk “menyuntikkan skrip CoinHive ke setiap halaman web yang dikunjungi pengguna.” Kenin juga mencatat bahwa para penyerang menggunakan tiga taktik yang meningkatkan kebrutalan serangan. Halaman kesalahan yang didukung skrip CoinHive dibuat yang menjalankan skrip setiap kali pengguna mengalami kesalahan saat menjelajah. Selain itu, skrip tersebut memengaruhi pengunjung ke situs web yang berbeda dengan atau tanpa router MikroTik (meskipun router adalah sarana untuk memasukkan skrip ini sejak awal). Penyerang juga ditemukan menggunakan file MiktoTik.php yang diprogram untuk menyuntikkan CoinHive ke setiap halaman html.
Karena banyak Penyedia Layanan Internet (ISP) menggunakan router MikroTik untuk menyediakan konektivitas web dalam skala massal untuk perusahaan, serangan ini dianggap sebagai ancaman tingkat tinggi yang tidak dibuat untuk menargetkan pengguna yang tidak curiga di rumah, tetapi untuk memberikan serangan besar-besaran. pukulan untuk perusahaan besar dan perusahaan. Terlebih lagi penyerang memasang skrip “u113.src” pada router yang memungkinkannya untuk mengunduh perintah dan kode lain nanti. Ini memungkinkan peretas untuk mempertahankan aliran akses melalui router dan menjalankan skrip alternatif siaga jika kunci situs asli diblokir oleh CoinHive.
