مدتی پیش مرکز ماهر گزارشی را منتشر کرده و تهران در آن، یکی از آلوده‌ترین شهرها به بدافزار استخراج ارز معرفی شده بود. گزارش جدید منتشرشده از سوی این مرکز نشان می‌دهد سوءاستفاده‌ی مهاجمین ازروترهای میکروتیک ادامه دارد.

به گزارش مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک، به‌خصوص روترهای تولیدشده توسط این شرکت در حجم بالا در ایران و معمولا در شبکه‌های کوچک و متوسط مورد استفاده قرار می‌گیرد. از ابتدای سال جاری چندین مورد آسیب‌پذیری حیاتی در مورد این تجهیزات شناسایی و منتشر شده است. آسیب‌پذیری‌ها به اندازه‌ای جدی است که امکان دسترسی کامل مهاجم به تجهیزات، شناسایی رمز عبور و دسترسی به محتوای ترافیک عبوری از روتر را فراهم می‌کند.

دسترسی به ترافیک عبوری، مخاطرات جدی در پی دارد و امکان شنود و بررسی ترافیک شبکه‌ی قربانی را روی پروتکل‌های FTP ،SMTP ،HTTP ،SMB و... فراهم می‌کند که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان جمع‌آوری تمامی رمزهای عبور که به‌صورت متن آشکار در حال تبادل در شبکه‌ی قربانی است را به‌دست می‌آورد.

آمار منتشرشده از سوی مرکز ماهر نشان می‌دهد در تاریخ ۱۰ مرداد ۱۳۹۷ تعداد دستگاه‌های فعال میکروتیک ۶۹،۸۰۵ عدد بوده است؛ تعداد دستگاه‌های آلوده در تاریخ ۱۴ مرداد ۱۳۹۷ به ۱۶/۱۱۴ عدد رسیده که تمامی ‌آن‌ها در معرض نفوذ قرار داشتند. مرکز ماهر با اطلاع‌رسانی مکرر و تأکید درباره‌ی ضرورت به‌روزرسانی و اقدامات لازم مانند قطع ارتباط از خارج کشور به دستگاه­‌های داخل کشور شامل پورت ۸۲۹۱ (winbox) توانسته است تا حدی مانع افزایش تعداد قربانیان شود.

با این وجود به‌دلیل عدم همکاری استفاده‌کنندگان از این تجهیزات به‌ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره‌بردار بخش عمده‌ی این تجهیزات هستند، تعداد زیادی از روترهای فعال در کشو به‌روزرسانی نشده‌اند و همچنان آسیب‌پذیر هستند. همچنین بررسی دقیق‌تر این تجهیزات نشان داده است که هر کدام به دفعات مورد نفوذ مهاجمین قرار گرفته‌اند.

در حملات اخیر که CryptoJackingنام دارد، مهاجمین به تجهیزات آسیب‌پذیر میکروتیک کدهای ارزکاوی تزریق کرده و با سوءاستفاده از ظرفیت پردازشی کاربران عبورکننده از این روترها هنگام مرور وب، بهره‌برداری می‌کنند.

همان‌طور که در نمودار زیر مشاهده می‌کنید تعداد دستگاه‌های آلوده‌شده‌ی میکروتیک به ارزکاو رو به افزایش است و این نشان می‌دهد مالکان هیچ توجهی به هشدار و راه‌کارهای ارائه‌شده نداشته‌اند. همچنین این نمودار نشان می‌دهد در روزهای اخیر این روند صعودی تسریع شده و تعداد قربانیان به‌صورت ساعتی در حال افزایش است.

به گزارش مرکز ماهر بیش از ۱۷/۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است و ایران پس از کشورهای برزیل، هند و اندونزی در رتبه‌ی چهارم روترهای آلوده به استخراج رمز ارز قرار دارد. بررسی کارشناسان مرکز ماهر نشان می‌دهد منشأ حملات به این تعداد دستگاه حداکثر از سوی ۲۴ مهاجم صورت گرفته است. نکته‌ی قابل توجه این است که تعدادی از قربانیان نفوذ پیشین و سرقت رمز عبور و اخذ دسترسی بعد از به‌روزرسانی firmware هنوز هم تحت کنترل مهاجمین هستند.

شرکت‌های بزرگ و کوچک ارائه‌ی خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند. در ادامه به بررسی دستورالعمل پاک‌سازی دستگاه‌های آلوده که از سوی مرکز ماهر منتشر شده، می‌پردازیم.

دستورالعمل پاک‌سازی دستگاه‌های آلوده

برای اطمینان از رفع آلودگی احتمالی و جلوگیری از حملات مجدد، بهتر است مراحل زیر انجام شود:

۱- قطع ارتباط روتر از شبکه

۲- بازگردانی به تنظیمات کارخانه‌ای (Factory reset)

۳- به‌روزرسانی firmware به آخرین نسخه‌ی منتشرشده توسط شرکت میکروتیک

۴- تنظیم مجدد روتر

۵- غیرفعال کردن دسترسی به پورت‌های مدیریتی (web ،winbox ،SSH ،telnet) از خارج شبکه. دسترسی مدیریتی باید از شبکه‌ی داخلی صورت بگیرد و در صورت لزوم برقراری از خارج از شبکه باید از طریق ارتباط VPN انجام شود.

۶- تغییر رمز عبور در روتر و سایر سیستم‌های تحت کنترل به‌دلیل احتمال بالای نشت آن

مراحل ذکرشده از سوی مرکز ماهر توصیه شده‌اند اما چنانچه راه‌اندازی و تنظیم به این روش امکان‌پذیر نباشد، می‌توان این کار را از طریق مراحل زیر انجام داد:

۱- اعمال آخرین به‌روزرسانی دستگاه‌های میکروتیک

۲- بررسی گروه‌های کاربری و حساب‌های دسترسی

۳- تغییر رمز عبور حساب‌های موجود و حذف نام‌های کاربری اضافی و بدون کاربرد

۴- بررسی فایل‌های webproxy/error.html و flash/webproxy/error.html

• حذف اسکریپت ارزکاوی (coinhive) از فایل
• حذف هرگونه تگ اسکریپت اضافه فراخوانی‌شده در این فایل‌ها

۵- حذف تمامی Scheduler Task های مشکوک

۶- حذف تمامی اسکریپت‌های مشکوک در مسیر System/Script

۷- حذف تمامی فایل‌های مشکوک در مسیر فایل سیستم و پوشه‌های موجود

۸- بررسی تنظیمات بخش فایروال و حذف Rule های اضافی و مشکوک

۹- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکه‌های غیرمجاز

۱۰- بررسی جدول NAT و حذف قوانین اضافی و مشکوک

۱۱- غیرفعال کردن دسترسی Web و Telnet

۱۲- محدود کردن دسترسی‌های مجاز به Winbox

۱۳- غیرفعال کردن دسترسی به پورت‌های مدیریتی از خارج شبکه‌ی داخلی

۱۴- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده

۱۵- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده

۱۶- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده

مرکز ماهر اعلام کرده است فهرست تجهیزات آلوده‌ی شناسایی‌شده به تفکیک شرکت و سازمان مالک به سازمان تنظیم مقررات رادیویی ارسال شده و در صورت عدم اقدام این شرکت‌ها نسبت به پاک‌سازی و رفع آسیب‌پذیری، راهکارهای قانونی از سوی این سازمان اجرا خواهد شد.