[摘要] 原标题:超过17万台MikroTik路由器沦为骇客挖矿攻击的跳板 示意图,与新闻事件无关。 资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动,骇客先入侵了受到ISP业者与企业青睐的
原标题:超过17万台MikroTik路由器沦为骇客挖矿攻击的跳板
示意图,与新闻事件无关。 资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动,骇客先入侵了受到ISP业者与企业青睐的MikroTik高阶路由器,再以这些路由器为跳板,在每个通过该路由器所造访的网页上植入CoinH...
示意图,与新闻事件无关。
资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动,骇客先入侵了受到ISP业者与企业青睐的MikroTik高阶路由器,再以这些路由器为跳板,在每个通过该路由器所造访的网页上植入CoinHive挖矿程式,利用使用者的浏览器与电脑资源帮他们挖矿,估计已有超过17万台路由器遭到渗透,且危害区域正从巴西向全球扩散。
根据Turswave的安全研究人员Simon△Kenin的说明,骇客所开采的是MikroTik已于今年4月23日所修补的漏洞,而且是在漏洞发现的同一天就修补了,但坊间已出现该漏洞的攻击程式,此一攻击程式锁定MikroTik的Winbox图形使用介面,允许远端骇客取得该路由器的管理员权限。
然而,骇客在入侵MikroTik路由器之后,为的并非是在路由器上注入恶意程式,反而是利用路由器的功能,在使用者通过该路由器所造访的每个网页上植入CoinHive挖矿程式。Kenin说,目前他们并不知道骇客是怎么办到这件事的,只能确定骇客非常了解MikroTik路由器的功能,由于所有遭骇路由器都被嵌入了同样的CoinHive网站公钥(Sitekey),因此判断为同一骇客集团所为。
骇客建立了一个订制化的错误页面,同时于该页面植入CoinHive挖矿程式,因此当使用者借由这些被入侵的路由器造访网页时,就会率先跳出这个错误页面,并开始替骇客挖矿。
Kenin指出,这是个非常聪明的骇客,他没有选择入侵使用者电脑或网站,而是直接骇进了ISP等级的路由器,这些受到ISP或企业青睐的路由器每天大概会服务数十个或数百个使用者,而且不论他们造访什么网站,都会跳出含有挖矿程式的错误页面。
该波攻击最初现身于巴西,也让巴西成为目前最大的受灾区域,在17万台遭到骇客掌控的路由器中,就有7万台位于巴西,而Turswave也观察到该攻击行动正迅速于全球扩散中。
另一位安全研究人员Troy△Mursch则发现,有另一起锁定同样漏洞的挖矿程式攻击行动已入侵了逾过2.5万台MikroTik路由器,但骇客所采用的CoinHive△Sitekey与Turswave所揭露的不同,也许是同一骇客集团采用了不同的Sitekey,或者是已经引来了模仿者。
橙山网(Csnd.net)简评:资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动,骇客先入侵了受到ISP业者与企业青睐的MikroTik高阶路由器,再以这些路由器为跳板,在每个通过该路由器所造访的网页上植入CoinH.
网友评论