Các chuyên gia bảo mật đã phát hiện ít nhất ba chiến dịch tấn công mã độc lớn nhắm vào hàng trăm ngàn thiết bị router MikroTik để lén khai thác tiền ảo trên những máy kết nối tới thiết bị.
Cụ thể hơn, những cuộc tấn công này xâm nhập vào 210.000 router trên toàn thế giới do hãng MikroTik sản xuất. Con số này vẫn tiếp tục tăng lên.
Lỗ hổng tin tặc sử dụng để khai thác nằm trong thành phần Winbox của router MikroTik được công bố vào hồi tháng 4 năm nay. Hãng nhanh chóng đưa ra bản vá bản mật sau đó vài ngày, nhưng chính sự bất cẩn của người dùng khi bỏ qua những bản cập nhật đã tạo điều kiện cho tin tặc khai thác trên quy mô lớn. Tin tặc có thể chiếm quyền quản trị từ xa trên bất kỳ thiết bị router MikroTik nào chưa cập nhật bản vá.
Cuộc tấn công đầu tiên được phát hiện bởi các chuyên gia đến từ Trustwave, nhắm vào thiết bị ở Brazil. Tại chiến dịch này tin tặc đã khai thác thành công hơn 183.700 router MikroTik. Kể từ đó, phạm vi tấn công lan dần ra trên phạm vi toàn cầu.
Troy Mursch, một hãng bảo mật khác, cũng đã phát hiện 2 cuộc tấn công tương tự lây nhiễm 25.000 và 16.000 router. Các cuộc tấn công chủ yếu diễn ra ở Moldova và sử dụng mã đào tiền ảo của dịch vụ CoinHive nổi tiếng.
Sau khi chiếm quyền quản trị, hacker chèn những đoạn mã Javascript của CoinHive vào trang web báo lỗi mà người dùng kết nối truy cập và vô tình trở thành công cụ đào tiền số Monero mà chính bản thân không hề hay biết.
“Tin tặc tạo một trang thông báo lỗi tùy chỉnh và chèn mã đào tiền số CoinHive trên đó, khi người dùng lướt web mà gặp phải thông báo lỗi (404, 500…) đều bị điều hướng đến trang này và trở thành công cụ ‘đào’ tiền ảo cho tin tặc.” – Simon Kenin, chuyên gia bảo mật đến từ Trustwave, cho biết.
Điều đáng nói là những cuộc tấn công đều diễn ra trên phạm vi lớn và những thiết bị hầu như bị khai thác cùng lúc. Cách làm của tin tặc thực sự rất tinh vi, thay vì khai thác trực tiếp trên những trang web người dùng truy cập, chúng đã khéo léo chèn vào những trang thông báo lỗi.
Có hàng trăm nghìn router MikroTik đang được sử dụng trên toàn thế giới, và mỗi thiết bị thường được hàng chục đến hàng trăm thiết bị người dùng kết nối đến. Đủ để thấy phạm vi ảnh hưởng lớn đến cỡ nào.
Đây là lời cảnh tỉnh đến những người quản trị IT đang sử dụng những router MikroTik nói riêng và các loại router khác nói chung. Chỉ cần bỏ chút thời gian để cập nhật sẽ tăng khả năng ngăn chặn tin tặc tấn công.
Đây không phải là lần đầu tiên MikroTik bị tin tặc nhắm đến. Hồi tháng 3 vừa qua các router của hãng cũng bị tin tặc khai thác thông qua lỗ hổng chưa xác định và cài phần mềm gián điệp vô thiết bị người dùng kết nối.
Theo TheHackerNews