Attacco a 200.000 router Mikrotik: caricato il codice per il mining di crittomonete

Alcuni ricercatori hanno scoperto un’importante campagna messa in atto da un gruppo di criminali informatici. Sfruttando una lacuna di sicurezza dei router Mikrotik, gli aggressori sono riusciti a modificare il firmware di circa 200.000 dispositivi in tutto il mondo così da inserire il codice per il mining di crittomonete Monero.
In altre parole qualunque sito web viene visitato dai client collegati al router Mikrotik, il dispositivo provvede a caricare automaticamente Coinhive disponendo il mining di monete virtuali sui sistemi degli utenti (vengono pesantemente sfruttate le risorse hardware della macchina per porre in essere questa attività).

Il problema di sicurezza presente nel firmware Mikrotik è stato immediatamente risolto dall’azienda già ad aprile 2018 ma molti utenti non hanno provveduto ad aggiornare il router esponendosi a rischi di attacco.

Nelle scorse ore, una volta che Trustwave ha rilevato l’attacco in corso e ha denunciato l’attività posta in essere dai criminali informatici, gli aggressori hanno provato a “nascondersi” limitando il numero delle pagine in cui veniva caricato il codice di Coinhive.

Ancora una volta, indipendentemente dalla marca e dal modello di router che si possiede, uno dei consigli migliori per evitare di correre rischi consiste nel verificare periodicamente la disponibilità di aggiornamenti provvedendo a installarli non appena essi vengono rilasciati dal produttore.
Negli articoli Come rendere la rete sicura sia in azienda che a casa e Configurare un router, le cose da fare dopo l’acquisto abbiamo illustrato quelle che secondo noi sono le verifiche più utili da effettuare e descritto i comportamenti più efficaci per mettersi al riparo dai pericoli.

Nel caso dei router Mikrotik, la prima versione del firmware che risolve il problema segnalato da Trustwave è la release 6.42.1.

Oltre 16.500 i router Mikrotik ancora vulnerabili solamente in Italia. Più di 7.500 i dispositivi attaccati che stanno inviando traffico dati agli aggressori

Uno studio di 360Netlab, pubblicato quest’oggi, rivela che un gruppo di criminali informatici ha iniziato a bersagliare la vulnerabilità dei router Mikrotik (sui device non aggiornati con l’installazione dell’ultima versione del firmware esente da qualunque problema noto) non soltanto per attività di mining ma con l’intento di reindirizzare il traffico dati trasferito usando i protocolli FTP, SMTP, POP3 e IMAP.

Spiegano gli esperti che i 7.500 router violati inviano tutti il traffico via TZSP (TaZmen Sniffer Protocol) verso nove indirizzi IP differenti.
L’unico modo per mettersi al riparo da qualunque rischio consiste nell’installare l’ultimo aggiornamento del firmware rilasciato da Mikrotik.