Gehackte MikroTik-routers sturen verkeer door naar aanvallers
Wereldwijd zijn er meer dan 7500 routers van fabrikant MikroTik die zijn gehackt en het verkeer van gebruikers eerst doorsturen naar aanvallers. Daarvoor waarschuwt securitybedrijf 360 Netlab. De routers worden overgenomen via een kwetsbaarheid waarvoor eind april van dit jaar een update verscheen.
Ondanks de beschikbaarheid van een beveiligingsupdate hebben eigenaren die nog niet allemaal uitgerold. Daardoor is het mogelijk om kwetsbare MikroTik-routers op afstand over te nemen. Het was al eerder bekend dat aanvallers cryptominers injecteren in het verkeer van gehackte routers.
MikroTik-routers maken het ook mogelijk om netwerkverkeer op te vangen. 360 Netlab ontdekte meer dan 7500 routers waarvan de instellingen waren aangepast waardoor het opgevangen netwerkverkeer van gebruikers naar een ip-adres van de aanvallers wordt verstuurd. De aanvallers hebben het met name voorzien op verkeer van poort 20, 21, 25, 110 en 143, die overeenkomen met ftp, smtp, pop3 en imap. Ook blijkt dat de aanvallers het hebben voorzien op poorten 161 en 162 die voor het Simple Network Management Protocol worden gebruikt.
De meeste gehackte routers die het verkeer doorsturen bevinden zich in Rusland, Iran en Brazilië. Eigenaren van een MikroTik-router krijgen het advies om inkomend verkeer voor de Webfig- en Winbox-poorten voor het internet te blokkeren en beschikbare beveiligingsupdates te installeren.
https://blog.mikrotik.com/security/
Cryptominers leveren nominaal te weinig op per site, alleen met grote aantallen besmette sites is het interessant
en dan blijkt dat er maar zo'n 10 figuren flink gaan cashen. Met ROCKE uit China wordt je echt ge-bitcoin-shanghaaid!
Testen: https://cryptojackingtest.com/ (eventuele crypto dat via deze scanner wordt gemined gaat naar een goed doel).
Het grootste probleem zit in de overdaad aan Youtube video's waarin beginners uitleggen aan andere beginners hoe je zo'n router moet configureren...
Daarin worden vaak nodeloos dingen open gezet die je helemaal niet open moet zetten, of de hele firewall wordt onklaar gemaakt.
De maker van het filmpje weet niet wat ie doet en werkt volgens het principe "werkt het, dan niet meer naar kijken".
Helaas worden door dit soort praktijken grote groepen het slachtoffer.
Ik denk ook dat de "aanvallen" niet specifiek op bepaalde landen gericht zijn, maar dat je in bepaalde landen meer mensen vindt die deze vorm van leren-hoe-het-moet gebruiken. Dat zou te maken kunnen hebben met het feit dat de goede documentatie alleen in het Engels beschikbaar is, waardoor mensen met gebrekkige kennis van die taal uitwijken naar andere bronnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.