Minería no autorizada afecta a más de 200,000 enrutadores Mikro Tik

02/08/2018

Investigadores de seguridad han detectado una campaña masiva de minería no autorizada dirigida a los enrutadores Mikroik y que cambia su configuración para inyectar una copia de la secuencia de comandos de minería de criptomonedas de Coinhive en el navegador de algunas partes del tráfico web de los usuarios.

La campaña parece haber iniciado esta semana y, en sus primeras etapas, estuvo activa principalmente en Brasil, pero más tarde comenzó a apuntar a los enrutadores MikroTik en todo el mundo.

El primero en detectar los ataques fue un investigador brasileño que se hace llamar MalwareHunterBR en Twitter, pero a medida que la campaña se hizo cada vez mayor al impactar cada vez más enrutadores, también llamó la atención de Simon Kenin, investigador de seguridad de SpiderLabs de Trustwave. 

En un informe que Trustwave compartió con la fuente, Kenin dice que el ciberatacante (o ciberatacantes) detrás de esta campaña parecen haber comprometido alrededor de 72,000 enrutadores MikroTik en Brasil durante las primeras etapas del ataque.

Kenin dice que el ciberatacante usa una vulnerabilidad de día cero en el componente Winbox de los enrutadores MikroTik que fue descubierto en abril. MikroTik parcheó la vulnerabilidad en menos de un día, en abril, pero esto no necesariamente significaba que los propietarios del enrutador aplicaran el parche requerido.

En cambio, el antiguo día cero fue diseccionado por los investigadores de seguridad, y el código de prueba de concepto (PoC) apareció en varios lugares en GitHub [1, 2].

El ciberatacante uso el día cero de Mikro Tik de abril de 2018

Según Kenin, el atacante utilizó una de esas PoC para alterar el tráfico que pasa a través del enrutador MikroTik e inyectar una copia de la biblioteca de Coinhive dentro de todas las páginas entregadas a través del enrutador.

Sabemos que es un solo actor el que explota este error porque el atacante usó solo una llave de Coinhive para todas las inyecciones de Coinhive que realizó la semana pasada.

Además, Kenin dice que también identificó algunos casos en los que los usuarios que no tenían enrutadores MikroTik también se vieron afectados. Él dice que esto sucedio porque algunos ISP brasileños estaban usando enrutadores MikroTik para su red principal, y por lo tanto, el atacante logró inyectar el código malicioso de Coinhive en una gran cantidad de tráfico web.

Además, Kenin dice que debido a la forma en que se realizó el ataque, la inyección funcionó en ambos sentidos, y no necesariamente solo para el tráfico que llega al usuario. Por ejemplo, si un sitio web está alojado en una red local detrás de un enrutador MikroTik afectado, el tráfico a ese sitio web también se inyectará con la biblioteca de Coinhive.

El ciberatacante se volvió más cuidadoso y redujo la operación

Pero inyectar Coinhive en tanto tráfico es muy ruidoso y tiende a molestar a los usuarios, lo que podría llevar a los usuarios y proveedores de servicios de Internet a investigar el origen del problema, como sucedió con este usuario en Reddit.

El atacante también parece haber entendido este problema, y ​​Kenin dice que en los ataques recientes, este cambió de táctica y solo inyectó la secuencia de comandos de Coinhive en páginas de error devueltas por los enrutadores.

Pero reducir su superficie de ataque no parece ser una degradación para el atacante. El investigador de Trustwave dice que en los últimos días ha visto el ataque propagarse fuera de Brasil, y ahora ha duplicado los números iniciales, con configuraciones alteradas y agregando la inyección de Coinhive en más de 170,000 enrutadores MikroTik.

"Permítanme enfatizar cuán malo es este ataque", dice Kenin. "Hay cientos de miles de estos dispositivos en todo el mundo en uso por los ISP y diferentes organizaciones y empresas, cada dispositivo sirve al menos a decenas si no a cientos de usuarios diariamente".

"El atacante sabiamente pensó que, en lugar de infectar sitios pequeños con pocos visitantes, o encontrar maneras sofisticadas de ejecutar malware en las computadoras de los usuarios finales, irían directamente a la fuente: dispositivos de enrutador de nivel de operador", agregó.

"Incluso si este ataque solo funciona en páginas que devuelven errores, todavía estamos hablando de potencialmente millones de páginas diarias para el atacante".

El ataque tiene espacio para crecer

Una consulta en el motor de búsqueda Shodan IoT revela que hay más de 1.7 millones de enrutadores MikroTik disponibles en línea.

Bleeping Computer se comunicó con el equipo de Coinhive y les preguntó si habían eliminado la clave de este sitio y cuánto Monero había minado el atacante a través de su esquema.

ACTUALIZACIÓN: Poco después de la publicación de este artículo, el investigador de seguridad Troy Mursch le dijo a Bleeping Computer que descubrió una segunda llave de Coinhive inyectada en el tráfico de los enrutadores MikroTik. Esta campaña ha alcanzado a más de 25,000 enrutadores, con un total de más de 200,000, ya que la primera clave de Coinhive ahora se usaba en más de 175,000 dispositivos. No está claro si esta segunda campaña está siendo orquestada por otro ciberatacante, o por el mismo actor y  que cambió a una nueva clave después de que Trustwave expusiera su primera operación. El título del artículo también fue actualizado.

 

Articulo relacionados: