超过17万台MikroTik路由器沦为骇客挖矿攻击的跳板,,资安业者 Tursw

原标题：超过17万台MikroTik路由器沦为骇客挖矿攻击的跳板

示意图，与新闻事件无关。 资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动，骇客先入侵了受到ISP业者与企业青睐的MikroTik高阶路由器，再以这些路由器为跳板，在每个通过该路由器所造访的网页上植入CoinH...

示意图，与新闻事件无关。

资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动，骇客先入侵了受到ISP业者与企业青睐的MikroTik高阶路由器，再以这些路由器为跳板，在每个通过该路由器所造访的网页上植入CoinHive挖矿程式，利用使用者的浏览器与电脑资源帮他们挖矿，估计已有超过17万台路由器遭到渗透，且危害区域正从巴西向全球扩散。

根据Turswave的安全研究人员Simon△Kenin的说明，骇客所开采的是MikroTik已于今年4月23日所修补的漏洞，而且是在漏洞发现的同一天就修补了，但坊间已出现该漏洞的攻击程式，此一攻击程式锁定MikroTik的Winbox图形使用介面，允许远端骇客取得该路由器的管理员权限。

然而，骇客在入侵MikroTik路由器之后，为的并非是在路由器上注入恶意程式，反而是利用路由器的功能，在使用者通过该路由器所造访的每个网页上植入CoinHive挖矿程式。Kenin说，目前他们并不知道骇客是怎么办到这件事的，只能确定骇客非常了解MikroTik路由器的功能，由于所有遭骇路由器都被嵌入了同样的CoinHive网站公钥（Sitekey），因此判断为同一骇客集团所为。

骇客建立了一个订制化的错误页面，同时于该页面植入CoinHive挖矿程式，因此当使用者借由这些被入侵的路由器造访网页时，就会率先跳出这个错误页面，并开始替骇客挖矿。

Kenin指出，这是个非常聪明的骇客，他没有选择入侵使用者电脑或网站，而是直接骇进了ISP等级的路由器，这些受到ISP或企业青睐的路由器每天大概会服务数十个或数百个使用者，而且不论他们造访什么网站，都会跳出含有挖矿程式的错误页面。

该波攻击最初现身于巴西，也让巴西成为目前最大的受灾区域，在17万台遭到骇客掌控的路由器中，就有7万台位于巴西，而Turswave也观察到该攻击行动正迅速于全球扩散中。

另一位安全研究人员Troy△Mursch则发现，有另一起锁定同样漏洞的挖矿程式攻击行动已入侵了逾过2.5万台MikroTik路由器，但骇客所采用的CoinHive△Sitekey与Turswave所揭露的不同，也许是同一骇客集团采用了不同的Sitekey，或者是已经引来了模仿者。

橙山网（Csnd.net）简评：资安业者 Turswave本周揭露一起大规模的挖扩程式恶意行动，骇客先入侵了受到ISP业者与企业青睐的MikroTik高阶路由器，再以这些路由器为跳板，在每个通过该路由器所造访的网页上植入CoinH.