2min

Onderzoekers zijn een grootschalige cryptojacking-campagne gericht op MikroTik-routers tegengekomen. De kwaadwillenden gebruiken hiervoor een kwetsbaarheid in meer dan 170.000 routers van de fabrikant, om scripts te draaien op de computers van nietsvermoedende slachtoffers.

Voor de aanval gebruiken de cybercriminelen een reeds bekende kwetsbaarheid, die MikroTik al eens patchte. Ze injecteren een miningscript van CoinHive in de browser van gebruikers die verbonden zijn met de geïnfecteerde routers. Vooralsnog lijkt de campagne zich alleen op Brazilië te richten, maar ontdekker Simon Kenin van TrustWave waarschuwt voor een mogelijk grotere omvang.

Kenin noemt de kwetsbaarheden een groot probleem, aangezien MikroTik hoogwaardige apparatuur ontwikkelt voor internet service providers (ISP’s) en bedrijven. Van dergelijke MikroTik-apparaten zijn er wereldwijd honderdduizenden in omloop. Vanwege de toepassing bereikt iedere router ten minste tientallen gebruikers, maar waarschijnlijk ligt bij de gemiddelde router het bereik op honderden gebruikers per keer.

Sitekey

Wat tevens opvalt is dat alle apparaten dezelfde Coinhive-sitekey gebruiken. Het gebruiken van dezelfde sitekey wijst erop dat alle apparaten aan het minen zijn voor één entiteit. Dat kan een persoon of een hackersgroep zijn.

Volgens TrustWave zijn dat op deze manier maximaal 175.000 apparaten besmet. Een andere security-onderzoeker, Troy Mursch, heeft echter een tweede sitekey gevonden, die zich op ongeveer 25.000 routers bevindt. Als beide sitekeys van dezelfde persoon of groepering zijn, komt het totaal aantal besmette apparaten uit op 200.000.

Patch

Inmiddels is MikroTik bezig met het adresseren van de kwetsbaarheid, maar verschillende apparaten beschikken nog niet over de gewenste patch. Met name zorgelijk vanwege de aanvalsmethode. Doorgaans richt cryptojacking zich bijvoorbeeld op kleine websites om een select aantal bezoekers te infecteren. De aanval op de MikroTik-routers onderscheidt zich door direct de bron te besmetten voor verspreiding.