黑客利用全球MikroTik 路由器發動大規模密幣劫持活動

這次密幣劫持活動似乎始于本周，而且在第一階段中主要活躍于巴西，但隨后開始針對位于全球的 MikroTik 路由器。

最先發現攻擊的是一位推特昵稱為 MalwareHunterBR 的巴西研究員，但隨著受影響的路由器數量越來越多，也引發了Trustwave 公司SpiderLabs 研究員 Simon Kenin 的注意。

Trustwave 發布報告稱，一名或多名黑客似乎在攻擊的第一階段似乎已攻陷位于巴西的7.2萬臺左右的 MikroTik 路由器。

Kenin 指出，攻擊者利用的是于4月份發現的 MikroTik 路由器 Winbox 組件的 0day 漏洞。雖然當時 MikroTik 在不到一天的時間里就修復了該漏洞，但這并不意味著路由器所有人打上補丁。安全研究員已詳細分析了該漏洞，并在 GitHub 上公開發布 PoC。

黑客利用 MikroTik 0day 漏洞

Kenin 指出，攻擊者使用其中的一個 PoC 修改通過 MikroTik 路由器的流量，并將 Coinhive 庫的副本注入路由器處理的所有頁面。

由于攻擊者在上周所有的 Coinhive 注入操作中只使用了一個 Coinhive 密鑰，因此推斷利用該缺陷的人員只有一名。

另外，Kenin 指出，他還發現某些非 MikroTik 用戶也受影響。他指出由于某些互聯網服務提供商的主網使用了 MikroTik 路由器，因此攻擊者設法將惡意 Coinhive 代碼注入大量 web 流量中。

另外，Kenin 指出，由于攻擊執行方法不同，因此不一定將惡意代碼只注入流入用戶的流量。例如，如果某網站托管在使用受感染 MikroTik 路由器的本地網絡上，那么流向網站的流量也被注入惡意 Coinhive 代碼。

黑客變得更加謹慎

但在如此多的流量中注入 Coinhive 非常嘈雜而且惹惱用戶，從而引發用戶和互聯網服務提供商調查問題來源。

攻擊者似乎也認識到了這個問題，Kenin 表示在最近的攻擊活動中，黑客轉變策略，只注入由路由器返回的出錯頁面中的 Coinhive 腳本。但縮小攻擊面并不意味著攻擊降級。Trustwave 公司的研究員表示，近期發現攻擊傳播至巴西之外的地方，而且目前攻擊數量已是原來的兩倍，已在超過17萬臺 MikroTik 路由器中增加了 Coinhive 注入。

Kenin 在說到攻擊的嚴重程度時表示，全球互聯網服務提供商和多種組織機構和企業使用數萬臺設備，每臺設備每天為數十名甚至數百名用戶服務。攻擊者很聰明地認為，不選擇訪客少的小型網站而是找到復雜方式在終端用戶計算機上運行惡意軟件，就能直接觸及源頭；運營商級別的路由器設備。即使這種攻擊僅在返回出錯信息的頁面上起作用，但攻擊者每天感染的網頁數量可能在數百萬級別。

攻擊范圍有可能擴大

從 Shodan 物聯網引擎搜索得知，網上存在170多萬臺 MikroTik 路由器。安全研究員 Troy Mursch 表示，他發現 MikroTik 路由器的流量中被注入第二個 Coinhive 密鑰。這一惡意活動觸及超過2.5萬臺，使得受感染設備超過20萬臺。目前尚不清楚該活動是否由同一個攻擊者發動，還是由同一名攻擊者在發現 Trustwave 發布的報告之后重新發動的攻擊。