استخراج غیرقانونی ارز دیجیتال با حمله به روترهای میکروتیک

صدها هزار روتر شرکت میکروتیک در برزیل توسط مجرمان سایبری برای استخراج ارز دیجیتال مونرو به روش Coinhive مورد سوء استفاده قرار گرفته‌اند. یک حمله‌ی بزرگ سرقت ارز دیجیتال (یا معدن‌کاوی غیر قانونی و بدون

صدها هزار روتر شرکت میکروتیک در برزیل توسط مجرمان سایبری برای استخراج ارز دیجیتال مونرو به روش Coinhive مورد سوء استفاده قرار گرفته‌اند.

یک حمله‌ی بزرگ سرقت ارز دیجیتال (یا معدن‌کاوی غیر قانونی و بدون اجازه‌ی کاربر) در کشور برزیل و با سوء استفاده از روترهای میکروتیک انجام گرفته است. سیمون کنین محقق امنیت سایبری گزارش کرده که در پایان ماه جاری گذشته، یک افزایش غیرعادی در معدن‌کاوی به‌صورت Coinhive اتفاق افتاده که خبر از معدن‌کاوی مشکوک ارز دیجیتال داشته است.

این محقق امنیت در یک پست وبلاگی توضیح داده که با تحقیقات بیشتر، دستگاه‌های میکروتیک در این معدن‌کاوی غیرعادی مشاهده شده‌اند. شرکت میکروتیک در آمریکای جنوی واقع بوده و تجهیزات شبکه را برای مشتریان سرتاسر جهان تامین می‌کند. در حمله‌ی مذکور، برزیل کشور اصلی مورد تهاجم بوده است.

در نگاه اول شاید این پدیده اتفاقی به نظر برسد اما کنین متوجه شده که تمامی دستگاه‌های دخیل در این معدنت‌کاوری از یک کلید رمزگشایی واحد استفاده کرده‌اند. Coinhive یک نرم‌افزار قانونی است که عموما توسط وبسایت‌ها در مرورگر کاربران نصب می‌شود تا قدرت پردازنده‌‌ی آنها را برای معدن‌کاوی ارز رمزنگاری شده‌ی مونرو قرض بگیرد. البته استفاده‌های نادرست از این نرم‌افزار باعث شده تا بسیاری از آنتی‌ویروس‌ها و کمپین‌های امنیت سایبری، این اسکریپت را مسدود کنند.

استفاده از یک کلید رمزگشایی (Sitekey) واحد برای استخراج ارز در تمامی دستگاه‌ها نشان می‌دهد که این روترها برای استخراج ارز برای یک نفر به کار گرفته شده‌اند. شرکت امنیتی Trustware تعداد دستگاه‌های مورد حمله را حدود ۱۷۵ هزار عدد تخمین زده و محقق امنیت سایبری، تروی مرش ۲۵ هزار دستگاه دیگر با کلید رمزگشایی دیگر را به آن اضافه کرده است. در صورت صحت این آمارها، تعداد روترهای قربانی به حدود ۲۰۰ هزار عدد می‌رسد.

محققان سایبری برای کشف قربانی شدن دستگاه‌های میکروتیک به روش Coinhive، چند اتفاق مشابه را بررسی کردند. یکی از دستگاه‌های مورد بررسی میکروتیک که عملکردی مشکوک داشت در یک بیمارستان نصب شده یود. در اتفاق دیگر، فردی در وبسایت ردیت در مورد مشکلش با روتر پستی منتشر کرد که مدارکی مشابه ارائه کرده بود. این کاربر عنوان کرده بود که با باز کردن هر وبسایتی در مرورگر، کدهای Coinhive به سیستمش تزریق می‌شوند و حتی تغییر دادن DNS یا برداشتن روتر نیز کمکی به حل این قضیه نمی‌کند. نکته‌ی قابل توجه این که میکروتیک توسط سازمان‌های بزرگ و تامین‌کنندگان اینترنت نیز مورد استفاده قرار می‌گیرد. در مورد دوم، روتر ISP کاربر مانند روتر بیمارستان آلوده شده بوده است.

پس از این خبرها و اظهار نظرها، اکانت توییتر MalwareHunter نیز خبری در ارتباط با نفوذ گسترده به دستگاه‌های میکروتیک منتشر کرد. در نهایت دلیل آسیب‌پذیری دستگاه‌های این شرکت و تبدیل شدنشان به کارگرهای معدن‌کاوی ارز دیجیتال، باگ امنیتی CVE-2018-14847 عنوان شد. این باگ، نرم‌افزار وین‌باکس سیستم‌عامل روترهای میکروتیک را آسیب‌پذیر می‌کند. در نسخه‌ی ۶.۴۲ این نرم‌افزار، مهاجمان می‌توانند از راه دور و با استفاده از یک درخواست تغییر یافته به سمت روتر، مرحله‌ی تایید هویت را دور زده و فایل‌های مورد نظر خود را بخوانند.

البته این نفوذ همه‌جانبه تقصیر شرکت تولیدکننده‌ی روترها نیست. این باگ چند روز پس از کشف رفع شده و پچ امنیتی مربوط به آن منتشر شده بود اما متاسفانه صدها هزار دستگاه به‌روزرسانی نشده و در برابر نفوذ آسیب‌پذیر مانده بودند.

مهاجم سایبری این حمله، با استفاده از نقص امنیتی توانسته بود روترها را مجبور به تزریق کد معدن‌کاوی در تمامی وبسایت‌های مشاهده شده توسط کاربر بکند. اگرچه هنوز فرد مهاجم این اتفاق پیدا نشده است اما کنین معتقد است او فردی کاملا آشنا به روند کاری روترهای میکروتیک است.

اتفاق پیش آمده مثالی دیگر برای تایید این قضیه است که به‌روزرسانی نکردن امنیتی دستگاه‌ها، خسارت‌های زیادی در مقیاس بزرگ به همراه خواهد داشت. در مثالی دیگر بات‌نت اینترنت اشیاء Mirai به دستگاه‌های هوشمند خانگی حمله کرده بود که باز هم نشان‌دهنده‌ی اهمیت پرداختن به امنیت دستگاه‌های شخصی است.

محققان امنیتی بر این باورند که آگاهی در مورد باج‌افزارها افزایش یافته و امروز دیگر مجرمان سایبری نمی‌توانند از کاربران درخواست پول زیادی داشته باشند؛ چرا که اکثر کاربران ازفایل‌های خود نسخه‌ی پشتیبان تهیه کرده و پولی به مهاجمان پرداخت نمی‌کنند. در این میان مجرمان سایبری به فکر روش جدید افتاده‌اند و با تزریق کدهای معدن‌کاوی، در صورت پرداخت نشدن باج برای فایل‌ها، از سیستم قربانی به‌منظور استخراج ارز دیجیتال استفاده می‌کنند. این کدها نفوذی مخفی‌تر داشته و برای مدت طولانی‌تری به مهاجم سود می‌رسانند.

 

منبع:زومیت

پشتیبانی
پشتیبانی راهنمایی و پشتیبانی نرم‌افزارهای پگاه‌سیستم.
۰۲۱-۴۱۳۶۷۰۰۰

فروش
مشاوره تخصصی، ارائه راه‌کارهای نرم‌افزاری مالی و سازمانی.
۰۲۱-۴۱۳۶۷۰۰۰

ایمیل
با آدرس پست الکترونیک پگاه‌سیستم مکاتبه فرمایید
info@pegahsystem.com

نشانی
تهران، سهروردی شمالی – خیابان هویزه شرقی – نرسیده به خیابان شریعتی – پلاک ۱۸ – واحد ۱
تلفکس :۴۱۳۶۷۰۰۰-۰۲۱