Peneliti keamanan menemukan kampanye cryptojacking – di mana penyerang membajak sistem untuk melakukan penambangan cryptocurrency – yang menyuntikkan versi berbahaya dari Coinhive, penambang cryptocurrency berbasis web, dengan mengeksploitasi kerentanan di router MikroTik. Inilah yang perlu Anda ketahui tentang ancaman ini: Apa yang terjadi?
Tahap awal kampanye cryptojacking dilaporkan meretas 72.000 router MikroTik di Brasil. Pada tulisan ini, lebih dari 200.000 router MikroTik telah dikompromikan. Sementara sebagian besar router berada di Brasil, para peneliti juga mencatat bahwa serangan sekarang juga menyebar ke luar negeri.
Ini menunjukkan bahwa pengguna atau organisasi yang menggunakan router MikroTik yang rentan rentan terhadap cryptojacking. Bahkan, para peneliti melihat kasus di mana router non-MikroTik juga terpengaruh, kemungkinan besar karena penyedia layanan internet (ISP) di Brasil menggunakan router MikroTik di jaringan utama mereka.
[TERKAIT: Perangkat yang terpengaruh VPNFilter yang Penuh dengan 19 Kerentanan, Rentan terhadap Mirai, Reaper, WannaCry] Kerentanan apa yang dieksploitasi oleh kampanye cryptojacking ini?
Kampanye cryptojacking mengeksploitasi kelemahan keamanan di Winbox, layanan manajemen jarak jauh yang dibundel dalam sistem operasi router MikroTik, RouterOS. Kerentanan, yang tidak memiliki pengenal CVE khas, diungkapkan pada April 2018 dan ditambal.
Winbox memungkinkan pengguna untuk mengkonfigurasi perangkat mereka dari jarak jauh secara online. Berhasil mengeksploitasi kerentanan akan membiarkan penyerang menggunakan alat yang dapat terhubung ke port Winbox (8291) dan "meminta file database pengguna sistem akses."
[BACA: Melihat Ancaman Keamanan Jaringan Rumah Yang Paling Penting] Bagaimana serangan cryptojacking bekerja?
Berhasil mengeksploitasi kerentanan memberikan penyerang akses admin yang tidak sah ke perangkat, memungkinkan mereka untuk menyuntikkan versi berbahaya dari skrip Coinhive ke setiap halaman web yang dikunjungi pengguna. Pengguna masih dapat terpengaruh bahkan jika terhubung ke jaringan nirkabel router yang rentan.
Mengingat masalah kinerja yang berat dan peningkatan lalu lintas jaringan yang dapat disebabkan oleh penambangan cryptocurrency berbahaya, operator kampanye menyadari bahwa serangan tersebut menarik perhatian ISP dan peneliti keamanan dan taktik yang bergeser. Skrip Coinhive yang berbahaya sekarang hanya disuntikkan di halaman kesalahan yang dikembalikan oleh router untuk tetap low profile.
Para peneliti juga mengidentifikasi skrip yang digunakan ketika penyerang menemukan router baru yang rentan. Skrip berbahaya memodifikasi pengaturan sistem, memungkinkan proxy, menjadwalkan tugas untuk memperbarui dirinya sendiri, dan membuat backdoor. Ini dipandang sebagai upaya peretas untuk menghindari deteksi.
[Dari Blog Intelijen Keamanan TrendLabs: Malware Penambangan Cryptocurrency: Ancaman Baru 2018?] Apakah ini metode cryptojacking baru?
Serangan itu bukan hal baru. Kerentanan pada perangkat berbasis MikroTik RouterOS juga dieksploitasi untuk menambahkannya ke botnet. Router MikroTik juga dikompromikan sebagai bagian dari kampanye cyberespionage Operation Slingshot, yang menggunakannya untuk mendapatkan pijakan ke dalam sistem target yang mereka minati. Peneliti Trend Micro juga menemukan aktivitas seperti Mirai yang memindai perangkat internet-of-things (IoT) yang rentan seperti router, kamera IP, dan perekam video digital (DVR). Kredensial default kemudian digunakan untuk mencoba membajaknya.
Mengingat popularitas penambangan cryptocurrency, tidak mengherankan bahwa aktor ancaman bergabung dengan kereta musik. Misalnya, kelompok peretas ditemukan menjajakan malware penambangan Monero yang menargetkan perangkat IoT. Ini juga dapat mencuri cryptocurrency korban dengan memodifikasi alamat / dompet dan menggantinya dengan milik penyerang.
[Panduan InfoSec: Mengurangi Suntikan Web yang Dapat Digunakan dalam Cryptojacking] Bagaimana ancaman ini dapat digagalkan?
Router yang tidak aman dapat menjadi pintu bagi ancaman yang dapat membajak sistem untuk keuntungan penjahat cyber, dan mengekspos data pribadi dan misi-penting untuk akses dan modifikasi yang tidak sah. Berikut adalah beberapa praktik terbaik:
- Jaga agar router dan perangkat yang terhubung tetap ditambal.
- Nonaktifkan atau batasi plug-in, ekstensi, atau komponen perangkat lunak lain yang sudah usang yang dapat digunakan sebagai titik masuk.
- Gunakan autentikasi multifaktor dan perkuat atau perbarui kredensial default perangkat.
- Aktifkan mekanisme keamanan seperti firewall.
- Untuk perusahaan, secara aktif memantau sistem dan jaringan untuk kegiatan anomali, menambahkan keamanan di semua lapisan tempat online organisasi, dan menggunakan tindakan pencegahan (misalnya, menggunakan protokol komunikasi yang lebih aman seperti HTTPS dalam administrasi situs).
Seperti itu? Tambahkan infografis ini ke situs Anda:
1. Klik pada kotak di bawah ini. 2. Tekan Ctrl+A untuk memilih semua. 3. Tekan Ctrl+C untuk menyalin. 4. Tempelkan kode ke halaman Anda (Ctrl+V).
Gambar akan muncul dengan ukuran yang sama seperti yang Anda lihat di atas.
