Rambler's Top100
 
Все новости Новости отрасли

Тысячи роутеров MikroTik объединены в ботнет с эксплойтом ЦРУ/АНБ

10 сентября 2018

Более 7,5 тысяч роутеров производства компании MikroTik оказались скомпрометированы вредоносным ПО, которое собирает данные о трафике и перенаправляет их на удалённый сервер.

Как сообщает TAdviser со ссылкой на информацию The Register, злоумышленники использовали эксплойт к уязвимости CVE-2018-14847. Этот эксплойт был опубликован в рамках кампании WikiLeaks и предположительно является одним из хакерских инструментов ЦРУ.

Помимо сбора данных трафика, через взломанные таким образом роутеры на подключённые к ним локальные компьютеры устанавливались криптомайнеры, утверждают в исследователей компании 360 Netlab.

От этой хакерской кампании пострадали пользователи по всему миру, но наибольшее количество жертв приходится на Россию (зафиксировано 40742 уязвимых устройств), Бразилию (42376 уязвимых устройств) и Индонезию (22441 уязвимых устройств). В топ-10 стран по числу жертв также вошли: Индия, Иран, Италия, Польша, США, Таиланд и Украина.

Эксперты отмечают, что вредоносное ПО, установленное на роутеры, совершенно спокойно переживает их перезагрузку, так что единственным надёжным способом его одолеть является обновление прошивки.

«Для сохранения контроля злоумышленников над устройством даже после перезагрузки (смены IP), в устройстве сформирована задача периодически сообщать свой последний IP-адрес на конкретный URL, принадлежащий злоумышленникам», — говорится в отчёте Netlab.  

Эксперты также указывают, что злоумышленники продолжают активно искать уязвимые роутеры на базе ОС MikroTik RouterOS.

Какова конечная цель злоумышленников, эксперты пока не знают. Обращает внимание на себя то обстоятельство, что хакеров почему-то особенно интересует трафик с SNMP-портов 161 и 162.

«Тут возникают некоторые вопросы, почему злоумышленников интересует сетевой протокол управления, которым обычные пользователи интересуются очень редко? Пытаются ли они мониторить и перехватывать SNMP-данные от каких-то специфических сообществ?» — рассуждают в Netlab.

SNMP — это стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. Протокол обычно используется в системах сетевого управления для контроля подключённых к сети устройств на предмет условий, которые требуют внимания администратора.

«Это выглядит как централизованный сбор информации. Вполне вероятно, что происходит поиск точек входа в сетевую инфраструктуру, возможно, даже в какую-то конкретную, с известными злоумышленникам параметрами, — полагает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Всё остальное может быть "дымовой завесой" и попытками извлечь прибыль. Но это, скорее всего, второстепенная задача».

Источник: TAdviser

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.