استخراج غیرقانونی ارز دیجیتال با حمله به روترهای میکروتیک
یک حملهی بزرگ سرقت ارز دیجیتال (یا معدنکاوی غیر قانونی و بدون اجازهی کاربر) در کشور برزیل و با سوء استفاده از روترهای میکروتیک انجام گرفته است. سیمون کنین محقق امنیت سایبری گزارش کرده که در پایان ماه جاری گذشته، یک افزایش غیرعادی در معدنکاوی بهصورت Coinhive اتفاق افتاده که خبر از معدنکاوی مشکوک ارز دیجیتال داشته است.
این محقق امنیت در یک پست وبلاگی توضیح داده که با تحقیقات بیشتر، دستگاههای میکروتیک در این معدنکاوی غیرعادی مشاهده شدهاند. شرکت میکروتیک در آمریکای جنوی واقع بوده و تجهیزات شبکه را برای مشتریان سرتاسر جهان تامین میکند. در حملهی مذکور، برزیل کشور اصلی مورد تهاجم بوده است.
در نگاه اول شاید این پدیده اتفاقی به نظر برسد اما کنین متوجه شده که تمامی دستگاههای دخیل در این معدنتکاوری از یک کلید رمزگشایی واحد استفاده کردهاند. Coinhive یک نرمافزار قانونی است که عموما توسط وبسایتها در مرورگر کاربران نصب میشود تا قدرت پردازندهی آنها را برای معدنکاوی ارز رمزنگاری شدهی مونرو قرض بگیرد. البته استفادههای نادرست از این نرمافزار باعث شده تا بسیاری از آنتیویروسها و کمپینهای امنیت سایبری، این اسکریپت را مسدود کنند.
استفاده از یک کلید رمزگشایی (Sitekey) واحد برای استخراج ارز در تمامی دستگاهها نشان میدهد که این روترها برای استخراج ارز برای یک نفر به کار گرفته شدهاند. شرکت امنیتی Trustware تعداد دستگاههای مورد حمله را حدود ۱۷۵ هزار عدد تخمین زده و محقق امنیت سایبری، تروی مرش ۲۵ هزار دستگاه دیگر با کلید رمزگشایی دیگر را به آن اضافه کرده است. در صورت صحت این آمارها، تعداد روترهای قربانی به حدود ۲۰۰ هزار عدد میرسد.
محققان سایبری برای کشف قربانی شدن دستگاههای میکروتیک به روش Coinhive، چند اتفاق مشابه را بررسی کردند. یکی از دستگاههای مورد بررسی میکروتیک که عملکردی مشکوک داشت در یک بیمارستان نصب شده یود. در اتفاق دیگر، فردی در وبسایت ردیت در مورد مشکلش با روتر پستی منتشر کرد که مدارکی مشابه ارائه کرده بود. این کاربر عنوان کرده بود که با باز کردن هر وبسایتی در مرورگر، کدهای Coinhive به سیستمش تزریق میشوند و حتی تغییر دادن DNS یا برداشتن روتر نیز کمکی به حل این قضیه نمیکند. نکتهی قابل توجه این که میکروتیک توسط سازمانهای بزرگ و تامینکنندگان اینترنت نیز مورد استفاده قرار میگیرد. در مورد دوم، روتر ISP کاربر مانند روتر بیمارستان آلوده شده بوده است.
باگ امنیتی عدم نصب بهروزرسانی امنیتی، مسیر را برای مجرمان هموار کرده است
پس از این خبرها و اظهار نظرها، اکانت توییتر MalwareHunter نیز خبری در ارتباط با نفوذ گسترده به دستگاههای میکروتیک منتشر کرد. در نهایت دلیل آسیبپذیری دستگاههای این شرکت و تبدیل شدنشان به کارگرهای معدنکاوی ارز دیجیتال، باگ امنیتی CVE-2018-14847 عنوان شد. این باگ، نرمافزار وینباکس سیستمعامل روترهای میکروتیک را آسیبپذیر میکند. در نسخهی ۶.۴۲ این نرمافزار، مهاجمان میتوانند از راه دور و با استفاده از یک درخواست تغییر یافته به سمت روتر، مرحلهی تایید هویت را دور زده و فایلهای مورد نظر خود را بخوانند.
البته این نفوذ همهجانبه تقصیر شرکت تولیدکنندهی روترها نیست. این باگ چند روز پس از کشف رفع شده و پچ امنیتی مربوط به آن منتشر شده بود اما متاسفانه صدها هزار دستگاه بهروزرسانی نشده و در برابر نفوذ آسیبپذیر مانده بودند.
مهاجم سایبری این حمله، با استفاده از نقص امنیتی توانسته بود روترها را مجبور به تزریق کد معدنکاوی در تمامی وبسایتهای مشاهده شده توسط کاربر بکند. اگرچه هنوز فرد مهاجم این اتفاق پیدا نشده است اما کنین معتقد است او فردی کاملا آشنا به روند کاری روترهای میکروتیک است.
اتفاق پیش آمده مثالی دیگر برای تایید این قضیه است که بهروزرسانی نکردن امنیتی دستگاهها، خسارتهای زیادی در مقیاس بزرگ به همراه خواهد داشت. در مثالی دیگر باتنت اینترنت اشیاء Mirai به دستگاههای هوشمند خانگی حمله کرده بود که باز هم نشاندهندهی اهمیت پرداختن به امنیت دستگاههای شخصی است.
محققان امنیتی بر این باورند که آگاهی در مورد باجافزارها افزایش یافته و امروز دیگر مجرمان سایبری نمیتوانند از کاربران درخواست پول زیادی داشته باشند؛ چرا که اکثر کاربران ازفایلهای خود نسخهی پشتیبان تهیه کرده و پولی به مهاجمان پرداخت نمیکنند. در این میان مجرمان سایبری به فکر روش جدید افتادهاند و با تزریق کدهای معدنکاوی، در صورت پرداخت نشدن باج برای فایلها، از سیستم قربانی بهمنظور استخراج ارز دیجیتال استفاده میکنند. این کدها نفوذی مخفیتر داشته و برای مدت طولانیتری به مهاجم سود میرسانند.