افزایش دستگاههای آلوده به استخراج ارز دیجیتال در ایران
مرکز ماهر آمار جدیدی از آلودگی روترهای میکروتیک به استخراج رمز و همچنین راههایی برای پاکسازی روترهای آلوده منتشر کرده است.
مدتی پیش مرکز ماهر گزارشی را منتشر کرده و تهران در آن، یکی از آلودهترین شهرها به بدافزار استخراج ارز معرفی شده بود. گزارش جدید منتشرشده از سوی این مرکز نشان میدهد سوءاستفادهی مهاجمین از روترهای میکروتیک ادامه دارد.
به گزارش مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک، بهخصوص روترهای تولیدشده توسط این شرکت در حجم بالا در ایران و معمولا در شبکههای کوچک و متوسط مورد استفاده قرار میگیرد. از ابتدای سال چندین مورد آسیبپذیری حیاتی در مورد این تجهیزات شناسایی و منتشر شده است. آسیبپذیریها به اندازهای جدی است که امکان دسترسی کامل مهاجم به تجهیزات، شناسایی رمز عبور و دسترسی به محتوای ترافیک عبوری از روتر را فراهم میکند.
دسترسی به ترافیک عبوری، مخاطرات جدی در پی دارد و امکان شنود و بررسی ترافیک شبکهی قربانی را روی پروتکلهای FTP ،SMTP ،HTTP ،SMB و… فراهم میکند که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان جمعآوری تمامی رمزهای عبور که بهصورت متن آشکار در حال تبادل در شبکهی قربانی است را بهدست میآورد.
آمار منتشرشده از سوی مرکز ماهر نشان میدهد در تاریخ ۱۰ مرداد ۱۳۹۷ تعداد دستگاههای فعال میکروتیک ۶۹،۸۰۵ عدد بوده است؛ تعداد دستگاههای آلوده در تاریخ ۱۴ مرداد ۱۳۹۷ به ۱۶/۱۱۴ عدد رسیده که تمامی آنها در معرض نفوذ قرار داشتند. مرکز ماهر با اطلاعرسانی مکرر و تأکید دربارهی ضرورت بروزرسانی و اقدامات لازم مانند قطع ارتباط از خارج کشور به دستگاههای داخل کشور شامل پورت ۸۲۹۱ (winbox) توانسته است تا حدی مانع افزایش تعداد قربانیان شود.
با این وجود بهدلیل عدم همکاری استفادهکنندگان از این تجهیزات بهویژه شرکتهای خدمات اینترنتی که مالک یا بهرهبردار بخش عمدهی این تجهیزات هستند، تعداد زیادی از روترهای فعال در کشو بروزرسانی نشدهاند و همچنان آسیبپذیر هستند. همچنین بررسی دقیقتر این تجهیزات نشان داده است که هر کدام به دفعات مورد نفوذ مهاجمین قرار گرفتهاند.
در حملات اخیر که CryptoJacking نام دارد، مهاجمین به تجهیزات آسیبپذیر میکروتیک کدهای ارزکاوی تزریق کرده و با سوءاستفاده از ظرفیت پردازشی کاربران عبورکننده از این روترها هنگام مرور وب، بهرهبرداری میکنند.
به گزارش مرکز ماهر بیش از ۱۷/۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است و ایران پس از کشورهای برزیل، هند و اندونزی در رتبهی چهارم روترهای آلوده به استخراج رمز ارز قرار دارد. بررسی کارشناسان مرکز ماهر نشان میدهد منشأ حملات به این تعداد دستگاه حداکثر از سوی ۲۴ مهاجم صورت گرفته است. نکتهی قابل توجه این است که تعدادی از قربانیان نفوذ پیشین و سرقت رمز عبور و اخذ دسترسی بعد از بهروزرسانی firmware هنوز هم تحت کنترل مهاجمین هستند.
شرکتهای بزرگ و کوچک ارائهی خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند.
دستورالعمل پاکسازی دستگاههای آلوده
برای اطمینان از رفع آلودگی احتمالی و جلوگیری از حملات مجدد، بهتر است مراحل زیر انجام شود:
۱- قطع ارتباط روتر از شبکه
۲- بازگردانی به تنظیمات کارخانهای (Factory reset)
۳- بروزرسانی firmware به آخرین نسخهی منتشرشده توسط شرکت میکروتیک
۴- تنظیم مجدد روتر
۵- غیرفعال کردن دسترسی به پورتهای مدیریتی (web ،winbox ،SSH ،telnet) از خارج شبکه. دسترسی مدیریتی باید از شبکهی داخلی صورت بگیرد و در صورت لزوم برقراری از خارج از شبکه باید از طریق ارتباط VPN انجام شود.
۶- تغییر رمز عبور در روتر و سایر سیستمهای تحت کنترل بهدلیل احتمال بالای نشت آن
مراحل ذکرشده از سوی مرکز ماهر توصیه شدهاند اما چنانچه راهاندازی و تنظیم به این روش امکانپذیر نباشد، میتوان این کار را از طریق مراحل زیر انجام داد:
۱- اعمال آخرین بروزرسانی دستگاههای میکروتیک
۲- بررسی گروههای کاربری و حسابهای دسترسی
۳- تغییر رمز عبور حسابهای موجود و حذف نامهای کاربری اضافی و بدون کاربرد
۴- بررسی فایلهای webproxy/error.html و flash/webproxy/error.html
- حذف اسکریپت ارزکاوی (coinhive) از فایل
- حذف هرگونه تگ اسکریپت اضافه فراخوانیشده در این فایلها
۵- حذف تمامی Scheduler Task های مشکوک
۶- حذف تمامی اسکریپتهای مشکوک در مسیر System/Script
۷- حذف تمامی فایلهای مشکوک در مسیر فایل سیستم و پوشههای موجود
۸- بررسی تنظیمات بخش فایروال و حذف Rule های اضافی و مشکوک
۹- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکههای غیرمجاز
۱۰- بررسی جدول NAT و حذف قوانین اضافی و مشکوک
۱۱- غیرفعال کردن دسترسی Web و Telnet
۱۲- محدود کردن دسترسیهای مجاز به Winbox
۱۳- غیرفعال کردن دسترسی به پورتهای مدیریتی از خارج شبکهی داخلی
۱۴- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده
۱۵- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده
۱۶- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده
مرکز ماهر اعلام کرده است فهرست تجهیزات آلودهی شناساییشده به تفکیک شرکت و سازمان مالک به سازمان تنظیم مقررات رادیویی ارسال شده و در صورت عدم اقدام این شرکتها نسبت به پاکسازی و رفع آسیبپذیری، راهکارهای قانونی از سوی این سازمان اجرا خواهد شد.