Тысячи маршрутизаторов MikroTik отправляют трафик злоумышленникам

Тысячи маршрутизаторов MikroTik отправляют трафик злоумышленникам

Атакующие маршрутизаторы MikroTik киберпреступники настраивают устройства таким образом, чтобы они перенаправляли сетевой трафик на несколько IP-адресов, которые находятся под их контролем. Злоумышленники эксплуатируют уязвимость CVE-2018-14847, которая была устранена еще в апреле.

Недостаток безопасности присутствует в компоненте Winbox, он позволяет удаленному злоумышленнику обойти аутентификацию и прочитать произвольные файлы. Код эксплойта в настоящее время доступен как минимум в трех источниках.

Массированные атаки на маршрутизаторы MikroTik заметили исследователи из Qihoo 360 Netlab еще в середине июля. Устройства использовались для операций криптоджекинга и сбора трафика, атака затронула более 200 000 маршрутизаторов.

В своем блоге 360Netlab сообщили, что зафиксировали по всему миру более 7500 маршрутизаторов MikroTik, которые отправляли свой TZSP-трафик на девять внешних IP-адресов. По словам исследователей, злоумышленники изменили настройки сниффинга пакетов, чтобы передавать данные на нужные им локации.

«Наиболее активный IP-адрес — 37.1.207.114. Значительное количество устройств отправляют трафик именно на него», — пишут эксперты.

Анализ показал, что киберпреступников особенно интересуют порты 20, 21, 25, 110 и 144, который используются для FTP, SMTP, POP3 и IMAP. Исследователи на данный момент не могут объяснить использование SNMP (Simple Network Management Protocol — простой протокол сетевого управления).

Наибольшее количество скомпрометированных устройств находятся в России — 1628, далее идут Иран (637 устройств), Бразилия (615), Индия (594) и Украина (544). Пользователю могут связаться с исследователями по адресу netlab[at]360.cn, чтобы узнать полный список IP-адресов.

В августе мы писали, что масштабная атака криптоджекинга нацелена на маршрутизаторы MikroTik. В ходе атак злоумышленники изменяют конфигурацию устройства, чтобы внедрить копию печально известного скрипта для майнинга Coinhive в трафик пользователя.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На форуме продают учётные данные 21 млн пользователей VPN для Android

Неизвестный киберпреступник на популярном хакерском форуме продаёт базы данных, которые, по его словам, содержат логины и пароли пользователей трёх VPN-приложений для мобильной операционной системы Android: SuperVPN, GeckoVPN и ChatVPN. В общей сложности злоумышленник предлагает 21 млн записей.

Это довольно интересная утечка, учитывая, что SuperVPN загрузили более 100 млн пользователей в официальном магазине Android-приложений Google Play Store. У GeckoVPN и ChatVPN результаты поскромнее, однако их тоже нельзя назвать плохими: 10 млн и 50 тыс. соответственно.

Преступник, разместивший на хакерском форуме объявление, продаёт адреса электронной почты и случайно сгенерированные строки, которые используются в качестве паролей. Сумму продавец не назвал, однако известно, что в общей сложности от утечки пострадали 21 млн пользователей VPN-клиентов.

 

Сотрудники издания CyberNews обратились за комментариями к представителям SuperVPN, GeckoVPN, ChatVPN и попросили подтвердить факт компрометации данных. Однако разработчики так и не вышли на связь.

Среди утёкших данных, по словам CyberNews, можно найти адреса электронной почты, имена пользователей, полные настоящие имена, страны проживания, сгенерированные случайным образом строки паролей, платёжную информацию, статус премиального пользователя и срок его действия.

 

Помимо этого, в выставленном на продажу архиве есть и данные об устройствах пользователей: серийный номер девайса, тип смартфона и его производитель, идентификатор устройства, IMSI-номера. Продавец при этом утверждает, что все данные он получил из общедоступных баз.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru