عندما يكون جهاز الكمبيوتر الخاص بك مصابًا بخزانة التشفير ، إذا سرق حصان طروادة كلمات المرور الخاصة بك وقام المحتالون باختطاف البريد ، إذا تم سحب معلومات بطاقة الائتمان عن طريق التصيد الاحتيالي وسحب الأموال ، فهذا كله رهيب ، ولكن على الأقل من الواضح ما حدث وكيفية التعامل معه. يقوم برنامج مكافحة الفيروسات بتنظيف الوحل ، واستعادة البيانات من النسخة الاحتياطية (إذا كانت كذلك بالطبع) ، فأعد إصدار البطاقة. إنه أسوأ بكثير إذا كنت تراقب بهدوء ، دون لفت الانتباه ، لفترة طويلة.
عادةً ما يكون هذا التهديد ذا صلة بالأشخاص العموميين والشركات الكبيرة - بشكل عام ، في الحالات التي تمتلك فيها معلومات قيمة حقًا. أو ليس فقط: يبدو أن المجرمين الإلكترونيين من المستوى المتوسط بدأوا أيضًا في محاولة لعب التجسس السيبراني. تمكن باحثون من فريق 360 Netlab الصيني من تحديد ما لا يقل عن 7500 جهاز توجيه Mikrotik تم اختراقه وإرسال حركة المرور عبرهم إلى خوادم الجرائم الإلكترونية (
الأخبار ). بالنظر إلى أن هذه ليست الأخبار الوحيدة حول الهجمات على أجهزة التوجيه بشكل عام و Mikrotik على وجه الخصوص ، سنحاول اليوم معرفة ما حدث وما يجب فعله حيال ذلك.
أجرى متخصصون من 360 Netlab
دراسة كاملة. يمكن تحديد أجهزة توجيه Mikrotik بشكل موثوق من خلال منفذ TCP المفتوح 8291 - ترتبط أداة مساعدة للتحكم في جهاز التوجيه من كمبيوتر WinBox بعيد به. بالمناسبة يستجيب الجهاز للأوامر الخاصة بهذا البرنامج ، يمكنك تحديد أنه جهاز توجيه بدقة ، وليس فقط بعض الأجهزة التي لديها نفس المنفذ لسبب ما. في المجموع ، تم العثور على 1.2 مليون جهاز توجيه Mikrotik مع منفذ مفتوح ، وهذا كثير ، مع الأخذ في الاعتبار أنه يمكن إغلاق المنفذ بالتأكيد للوصول إليه من الخارج.
من بين 1.2 مليون جهاز توجيه ، 370 ألفًا ، أو أكثر بقليل من 30 في المائة ، لديهم ثغرة CVE-2018-14847. تم
إغلاق هذا الضعف في أبريل من هذا العام. هنا يمكنك قراءة قصة كيف حاول باحث مستقل تحديد ما تم تصحيحه. باختصار ، تسمح الثغرة دون إذن خاص بقراءة أي ملف من جهاز التوجيه عن بُعد ، بما في ذلك كلمات مرور الوصول المحمية بشكل سيئ (والتي تكون محمية بشكل أفضل منذ ذلك الحين). يوضح وصف إثبات المفهوم في GitHub أن أجهزة التوجيه التي تحتوي على إصدارات البرامج الثابتة من RouterOS من 6.29 إلى 6.42 ضعيفة ، أي أن المشكلة موجودة منذ ثلاث سنوات.
تبدو خريطة توزيع الأجهزة الضعيفة على هذا الكوكب. تحتل روسيا المرتبة الثانية بعد البرازيل ، مع 40 ألف جهاز توجيه غير مخفض. كيف يستغل المهاجمون الثغرة؟ يمكنك إعادة توجيه حركة مرور المستخدم إلى الصفحة برسالة الخطأ التي تم إنشاؤها بواسطة جهاز التوجيه نفسه ، وتنفيذ عامل تعدين CoinHive للعملة على هذه الصفحة. طريقة تحقيق الدخل هذه معروفة بالفعل (انظر الملخص
رقم 29 ) ، في أغسطس / آب ، ورد أن الهجوم أثر بشكل رئيسي على البرازيل ، وتعرض مائتا ألف جهاز توجيه له. صحيح أن الباحثين من الصين أوضحوا أن الخطة تبين أنها كانت كذلك. والحقيقة هي أنه لكي يعمل المنجم بشكل صحيح ، يجب أن يكون لديه حق الوصول إلى شبكة خارجية يتم حظرها بواسطة الإعدادات نفسها التي تعرض صفحة الخطأ للمستخدمين.
وعلى أي حال ، سيتم اكتشاف مثل هذا الهجوم بسرعة ، نظرًا لأن الإنترنت سيسقط بين المستخدمين (نحن نتحدث عن أجهزة التوجيه المصممة للمؤسسات الكبيرة والمزودي الصغار). يمكنك استخدام الخادم الوكيل على جهاز التوجيه بشكل أكثر أناقة: على سبيل المثال ، قم بنقل مهمة فحص الشبكة ومهاجمة أجهزة التوجيه الأخرى إلى الجهاز المصاب. في المجموع ، وجد الباحثون 239 ألف جهاز توجيه تم تنشيط وكيل Socks4 ، وقد تم ذلك ، وفقًا للخبراء الصينيين ، بقصد خبيث ، "
بدون احترام ". بالطبع ، هذا الخيار ليس هو الخيار الوحيد ، ولكن بالنسبة إلى أي شيء آخر يتم استخدام جيش الموجهات مع خادم وكيل ، والذي لا يمكن الوصول إليه إلا من شبكة فرعية معينة (يتم التحكم فيها على ما يبدو بواسطة مجرمي الإنترنت) ، فإنه غير معروف على وجه اليقين.
ولكن أكثر ما وجد من البحث إثارة هو هذا. يتيح لك Mikrotik RouterOS إعادة توجيه حزم الشبكة التي يعالجها جهاز التوجيه إلى عنوان محدد. قد تبدو إعدادات إخراج حركة المرور هذه مثل لقطة الشاشة أعلاه. لذلك ، حدد باحثون من 360 Netlab 7.5 ألف جهاز توجيه لا يعرفون من الذي يمنحهم كل حركة المرور التي تمر عبرها. حسنًا ، كل شيء تقريبًا: عادةً ما تتم مراقبة الاتصالات على المنافذ 20 و 21 و 25 و 110 و 143 ، على التوالي ، وهذه هي بروتوكولات FTP والبريد SMTP و POP3 / IMAP. أيضًا ، في بعض الحالات ، تم رصد المنفذين 161 و 162 المرتبطين ببروتوكول SNMP ، ولكن سبب استخدامه غير واضح. قائمة المنافذ ذات صلة بالإعدادات الأكثر شيوعًا في أجهزة التوجيه المصابة. كما تم مراقبة بعض المنافذ بحثًا عن منافذ أخرى ، على سبيل المثال ، 80 (أي جميع حركة مرور الويب غير المشفرة) و 8080.
وفي قائمة أجهزة التوجيه التي تسرق حركة المرور ، تحتل روسيا المرتبة الأولى بـ 1628 جهاز توجيه مصاب ، وإيران والبرازيل في المركزين الثاني والثالث. لماذا يتم إعادة توجيه حركة المرور ، وماذا يحدث لها بعد ذلك - يمكن للمرء أن يخمن فقط. أفترض أن الغرض من الاعتراض هو البحث عن ضحايا جدد ليتم تضمينهم في الروبوتات الخاصة بشخص ما ، وشيء مثل البحث العلمي. يشعر العديد من الأشخاص بالقلق الآن بشأن مقدار ما يجمعه مزودو خدمات البيانات على الإنترنت من أجل الإعلان عن "أفضل" لمنتجاتنا. حقيقة أن الجريمة تجمع معلومات عنا حتى يكون من الأفضل مهاجمتنا لاحقًا أمر أكثر خطورة.
ماذا تفعل من الواضح ما يجب فعله الآن:
تحديث جهاز التوجيه . ستصل نقاط الضعف قريباً إلى ستة أشهر ، لقد حان الوقت بالفعل. ثم سيكون من الجيد تحليل التكوين لغرض إغلاق الوصول من الخارج - فهو أبعد ما يكون عن المطلوب في جميع الحالات. ماذا تفعل بشكل عام وعلى من يقع اللوم؟
يلخص مؤلف إثبات المفهوم لهذه الثغرة دراسته المصغرة بكلمات مثل "لا تستخدم mikrotik في المؤسسة". ولكن هذا طريق مسدود: "آه ، رعب ، وجدنا ثغرة رهيبة ، لم نقم بشرائها مرة أخرى." كما لو كان مع أجهزة التوجيه الأخرى ، فإن الوضع أفضل. في مايو
، ورد أن شبكة الروبوتات القوية
تم تجميعها من خلال هجوم VPNFilter لـ 500 ألف جهاز ، حيث تم العثور على أجهزة Mikrotik ، بالإضافة إلى LinkSys و Netgear و TP-Link.
في روسيا ، غالبًا ما يتم استخدام أجهزة توجيه Mikrotik في الشركات الصغيرة والمتوسطة ، حيث يتم تكوينها إما من قبل متخصص تكنولوجيا المعلومات الوارد أو من قبل بعض الموظفين المالكين ، ثم يتم نسيانها عادةً: شيء أو آخر ، إنها تعمل - حسنًا. البرامج الثابتة القديمة هي مؤشر غير مباشر للتشغيل المستقر للجهاز. ولكن اتضح أنه بغض النظر عن جهاز التوجيه الخاص بك ، يجب تحديثه ، يجب تكوينه مع الإعدادات الأكثر أمانًا ، وواجهات الإدارة الخارجية غير المتصلة إذا لم تكن هناك حاجة إليها. على الأرجح ، بمشاركة أخصائي خارجي. الأمن ليس مجانيًا أبدًا.
إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي. وبالمناسبة ، هذا هو المنشور رقم 300 على مدونة لابري على حبري لمدة سبع سنوات من وجوده. مع كل من نهنئكم ونحن.