Peneliti keamanan telah menemukan setidaknya tiga kampanye yang secara besar-besaran malware tersebut mengeksploitasi ratusan ribu router MikroTik yang belum dikirim untuk secara diam-diam menginstalasi cryptocurrency pada komputer yang terhubung dengan mereka.
Secara keseluruhan, kampanye malware itu telah mengkompromikan lebih dari 210.000 router dari penyedia perangkat keras jaringan Latvia Mikrotik di seluruh dunia, dengan jumlah yang masih meningkat pada penulisannya.
Para hackers tersebut telah mengeksploitasi kerentanan yang diketahui dalam komponen Winbox dari router MikroTik yang ditemukan pada bulan April tahun ini dan ditambal dalam satu hari setelah penemuannya, yang sekali lagi hal tersebut menunjukkan kecerobohan orang-orang dalam menerapkan tambalan keamanan tepat waktu.
Disamping itu cacat keamanan dapat memungkinkan penyerang untuk mendapatkan akses administratif remote yang tidak diautentikasi ke router MikroTik yang rentan.
Kampanye pertama, diperhatikan oleh peneliti Trustwave, dimulai dengan penargetan perangkat jaringan di Brasil, di mana peretas atau sekelompok peretas menyusupi lebih dari 183.700 router MikroTik.
Karena peretas lain juga mulai mengeksploitasi kerentanan router MikroTik, kampanye ini menyebar dalam skala global.
Sungguh ironis, bukan kompasianer.
Troy Mursch, peneliti keamanan lain, telah mengidentifikasi dua kampanye malware serupa yang menginfeksi 25.500 dan 16.000 router MikroTik, terutama di Moldova, dengan kode penambangan cryptocurrency berbahaya dari layanan CoinHive yang terkenal.
Para attackers atau penyerang ini menyuntikkan Javascript Coinhive ke setiap halaman web yang dikunjungi pengguna menggunakan router yang rentan, akhirnya memaksa setiap komputer yang terhubung tanpa sadar menginstalasi cryptocurrency Monero.
"Penyerang membuat halaman kesalahan kustom dengan script CoinHive di dalamnya" dan "jika pengguna menerima halaman kesalahan dalam bentuk apa pun saat menjelajah web, mereka akan mendapatkan halaman kesalahan khusus dan hal ini yang akan menambatkan CoinHive untuk penyerang," kata peneliti Trustwave Simon Kenin.
Well, kompasianer hal ini adalah pengingat yang baik untuk pengguna dan manajer IT yang masih menjalankan router MikroTik yang rentan di lingkungan mereka untuk patching perangkat mereka sesegera mungkin. Satu patch, yang tersedia sejak April cukup untuk menghentikan eksploitasi ini di jalurnya.
Tentunya hal ini bukan kali pertama router MikroTik ditargetkan untuk menyebarkan malware. Pada bulan Maret tahun ini, grup peretas APT yang canggih mengeksploitasi kerentanan yang tidak diketahui di router MikroTik untuk menanamkan spyware secara diam-diam ke komputer korban.
Informasi terkait penelitian bersumber dari science daily