Noll
En rysktalande grey-hat hacker är att bryta sig in i folks MikroTik routrar och lapp-enheter så att de inte kan missbrukas av cryptojackers, botnät herdar, eller andra it-brottslingar, ZDNet har lärt sig.
Hackaren som går under namnet Anders och säger att han fungerar som en server-administratör, hävdar att desinficeras över 100 000 MikroTik routrar redan.
Alexey har inte försökt att dölja sina handlingar och har skrutit om sin hobby på en rysk blogging plattform. Han säger att han kommer åt routrar och gör ändringar i sina inställningar för att förhindra ytterligare övergrepp.
“Jag har lagt brandväggsregler som har blockerat åtkomst till routern från utanför det lokala nätverket,” Anders sade. “I kommentarerna, jag skrev information om sårbarhet och vänster adress @router_os Telegram kanal, där det var möjligt för dem att ställa frågor.”
Men trots att justera inställningar för brandvägg för över 100 000 användare, Alexey säger att endast 50 användare nått ut via Telegram. Några sade “tack”, men de flesta var upprörda.
Vigilante server-administratör säger att han bara varit fastställande av routrar som inte har lappat av sin ägare mot en MikroTik säkerhetsproblem som uppdagades i slutet av April.
Vid den tiden, sårbarhet (känd som CVE-2018-14847) var en zero-day, men MikroTik rullade ut en fix på rekordtid. Ändå, cyber-brottslingar som snabbt hoppade på styrelsen att utnyttja denna svaghet.
CVE-2018-14847 är ett mycket bekvämt sårbarhet eftersom det gör det möjligt för en angripare att kringgå autentisering och hämta användaren databasfilen. Angriparna dekryptera filen och sedan använda en av de användarnamn och lösenord kombinationer för att logga in på en fjärransluten enhet och göra OS inställningar och köra olika skript.
De senaste fem och en halv månader, sårbarhet har varit främst används för att plantera cryptojacking skript på föråldrade MikroTik routrar [1, 2] och att kapa DNS-servrar och senare omdirigera trafiken mot skadliga webbplatser [1, 2].
Detta skulle inte vara ett problem, men MikroTik är en av dagens mest populära router varumärke. Det finns över två miljoner MikroTik routrar runt om i världen.
Säkerhet forskare Troy Mursch berättade ZDNet idag av miljontals MikroTik routrar som är anslutna till Internet, över 420,000 visa tecken på att de har smittats med cryptocurrency-gruv-skript.
Sett till ZDNet idag, Ankit Anubhav, en säkerhetsforskare för NewSky Säkerhet, har också angett att DDoS botnet författarna har även försökt att infektera och corral dessa enheter under deras kontroll, men misslyckas.
“Den vanliga IoT blackhat botnet fabriken är i princip borta om säkerhetshål, och hur det kan användas för en väl fungerande botnet,” Anubhav sagt.
I stället säger han: de människor placera cryptocurrency-gruv-skript på de enheter som är långt mer skickliga på kapning utsatta routrar. Anubhav spekulerat i att det här ser ut att vara “arbete för en kunnig ensam aktör.”
Saker blev ännu värre för MikroTik gemenskapen här senaste veckan efter Hållbart forskare släppt en ny attack som heter “By The Way” för den ursprungliga CVE-2018-14847 sårbarhet. Detta sporrade nytt intresse från botnet gemenskapen.
Men anledningen till varför Alexey var att “rena” över 100 000 routrar är på grund av att ingen hacker grupper som nu missbrukar MikroTik routrar verkar för att utföra grundläggande hygien.
“Attacker är inte att stänga [enhetens portar] eller lapp enheter, så alla som vill ytterligare bråka med dessa routrar, kan,” Anubhav berättade ZDNet.
Lyckligtvis, Alexey har gjort detta clean-up på en del användare räkning. Men tekniskt sett, Alexey är på fel sida av lagen. Trots hans goda avsikter, är det olagligt att få tillgång till en annan person eller organisation utrustning utan samtycke.
Alexey s vigilante spree kan vara olagligt, men han är definitivt inte den första.
I och med 2014, en hacker åt tusentals ASUS routrar och planterade text varningar inne i datorer med delade mappar och hårddiskar som ligger bakom dessa routrar, varnar användare för att lappa sina ASUS enhet.
I slutet av 2015, ett team av vigilante hackare kommer av namnet på det Vita Laget inledde Linux.Wifatch skadlig kod som stängt säkerhet hål på en mängd olika Linux-baserade routrar. Vid ett tillfälle, det Vita Laget är botnät blev så stor att den kämpat med botnät av den ökända Ödla Trupp team för avdelning av internets största botnet.
I 2017 är en mer slingrande vigilante hacker som heter Janit0r distribuerat BrickerBot skadlig kod som raderas firmware eller runsten IoT enheter som inte hade uppdaterats.
Även i 2017 är en hacker gjort över 150 000 skrivare spyr ut ett meddelande till sina ägare för att öka allas medvetenhet om faran med att lämna skrivare som utsätts online.
År 2018, en annan vigilante bytt namn tiotusentals MikroTik och Ubiquiti routrar för att “HACKA” och andra meddelanden för att få ägarna uppmärksamma på att uppdatera sina enheter.
Mursch berättade ZDNet att han inte tror att den MikroTik situationen kommer att bli bättre någon gång snart.
“Starta mormors router kommer inte fixa detta”, sade han. “Sanering ansträngningar måste göras av tjänsteleverantörer.”
Anledningen är att många av dessa enheter är inte routrar placeras inuti användare hem, men är så kallade “edge” – enheter, som ofta är en del av en ISP: s interna infrastruktur, såsom routrar placeras i ISP kartonger kvar inne i lägenheten komplex eller på gatan polacker.
En annan källa i infosec gemenskapen som talade till ZDNet men ville inte att hans namn gemensamt för denna berättelse bekräftats att Alexey s vigilante insatser har också berört edge routrar, inte bara de som finns i människors hem.
“Ironiskt nog, genom rengöring av vissa internet-routrar han kan få Internetleverantörer att agera och åtgärda alla routrar,” den namnlösa forskare berättade för oss.
För MikroTik, lettiska företaget har varit en av de mest lyhörda leverantörer i form av säkerhetsbrister, fastställande av frågor inom några timmar eller dagar, jämfört med de månader som vissa andra router leverantörer tenderar att ta. Det skulle vara orättvist att skylla situationen på dem. Fläckar har varit tillgängliga för månader, men, återigen, det är ISPs-och hemanvändare som misslyckas med att dra fördel av dem.
RELATERADE TÄCKNING:
Hackare bryter mot webbhotell för andra gången under det senaste året, Fem år senare, italienska polisen att identifiera hacker bakom 2013 NASA hackaÖver nio miljoner kameror och DVRs öppna till APTs, botnät herdar, och fluktarewebbhotell ta tre dagar, i genomsnitt, för att svara på missbruk rapporterTechRepublic: Varför 31% av dataintrång leda till att anställda får sparkenCNET: Att VPNFilter botnet FBI ville att vi skulle hjälpa till att döda? Det är fortfarande leverNy studie visar 5 av varje 6-routrar är bristfälligt uppdaterad för säkerhetsbristerOSS ISP RCN butiker kund lösenord i klartextTusentals WordPress webbplatser backdoored med skadlig kod
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0