7,500台以上のMikrotikルーターが、ネットワークトラフィックデータを記録して未知の制御サーバーに送信するマルウェアに感染しました。
これは360 Netlabの研究者らによるもので、同研究者らは、CIAのハッキングツールとされるVault7のデータダンプで初めて明らかにされた脆弱性であるCVE-2018-14847を悪用して、すべてのルーターが乗っ取られたことを発見した。
Netlab によれば、7 月中旬以降、攻撃者はこの欠陥を悪用し、ルーターを利用して接続されたマシンに仮想通貨の採掘を強制したり、今回の場合はトラフィック パケットの詳細をリモート サーバーに転送したりしようとしているという。
「現時点で、合計7,500個のMikroTik RouterOSデバイスのIPが攻撃者によって侵害されており、TZSPトラフィックがいくつかの収集IPアドレスに転送されている」と研究者らは説明した。
ハッキングされたデバイスは5大陸にまたがっており、ロシア、ブラジル、インドネシアが最も影響を受けていることから、感染は特定の地域を狙っているようには見えない。
研究者らは、このマルウェアは再起動にも耐性があり、ファームウェアのアップデートが問題の唯一の恒久的な解決策であると指摘した。
MikroTikルーターはツルハシを手に取り、暗号通貨鉱山に降り立つ
続きを読む
「攻撃者がデバイスの再起動(IP変更)後でも制御権を取得できるように、デバイスは特定の攻撃者のURLにアクセスして最新のIPアドレスを定期的に報告するスケジュールされたタスクを実行するように設定されている」とNetlabは書いている。
「攻撃者は、侵害されたSocks4プロキシを使用して、さらに多くのMikroTik RouterOSデバイスのスキャンを続けています。」
360 Netlabは、攻撃者の最終的な目的は不明であると述べています。しかし、このコントローラは、比較的目立たないSNMPポート161と162からのトラフィック収集に関心を持っているようだと指摘しています。
「これはいくつか疑問を抱かせる。なぜ攻撃者は一般ユーザーがほとんど使わないネットワーク管理プロトコルに注目しているのか? 特定のユーザーのネットワークSNMPコミュニティ文字列を監視し、取得しようとしているのだろうか?」と360 Netlabは問いかけた。
「現時点では答えはありませんが、答えが何であるかを知ることに非常に興味があります。」®
