示意圖,與新聞事件無關。

資安業者 Trustwave本周揭露一起大規模的挖擴程式惡意行動,駭客先入侵了受到ISP業者與企業青睞的MikroTik高階路由器,再以這些路由器為跳板,在每個透過該路由器所造訪的網頁上植入CoinHive挖礦程式,利用使用者的瀏覽器與電腦資源幫他們挖礦,估計已有超過17萬台路由器遭到滲透,且危害區域正從巴西向全球擴散。

根據Trustwave的安全研究人員Simon Kenin的說明,駭客所開採的是MikroTik已於今年4月23日所修補的漏洞,而且是在漏洞發現的同一天就修補了,但坊間已出現該漏洞的攻擊程式,此一攻擊程式鎖定MikroTik的Winbox圖形使用介面,允許遠端駭客取得該路由器的管理員權限。

然而,駭客在入侵MikroTik路由器之後,為的並非是在路由器上注入惡意程式,反而是利用路由器的功能,在使用者透過該路由器所造訪的每個網頁上植入CoinHive挖礦程式。Kenin說,目前他們並不知道駭客是怎麼辦到這件事的,只能確定駭客非常了解MikroTik路由器的功能,由於所有遭駭路由器都被嵌入了同樣的CoinHive網站公鑰(Sitekey),因此判斷為同一駭客集團所為。

駭客建立了一個客製化的錯誤頁面,同時於該頁面植入CoinHive挖礦程式,因此當使用者藉由這些被入侵的路由器造訪網頁時,就會率先跳出這個錯誤頁面,並開始替駭客挖礦。

Kenin指出,這是個非常聰明的駭客,他沒有選擇入侵使用者電腦或網站,而是直接駭進了ISP等級的路由器,這些受到ISP或企業青睞的路由器每天大概會服務數十個或數百個使用者,而且不論他們造訪什麼網站,都會跳出含有挖礦程式的錯誤頁面。

該波攻擊最初現身於巴西,也讓巴西成為目前最大的受災區域,在17萬台遭到駭客掌控的路由器中,就有7萬台位於巴西,而Trustwave也觀察到該攻擊行動正迅速於全球擴散中。

另一名安全研究人員Troy Mursch則發現,有另一起鎖定同樣漏洞的挖礦程式攻擊行動已入侵了逾過2.5萬台MikroTik路由器,但駭客所採用的CoinHive Sitekey與Trustwave所揭露的不同,也許是同一駭客集團採用了不同的Sitekey,或者是已經引來了模仿者。


Advertisement

更多 iThome相關內容