黑客集团开始动用被感染的MikroTik路由监听用户流量
山外的鸭子哥 早前就有安全公司发现拉脱维亚的路由器品牌MikroTik由于存在安全漏洞而被黑客集团利用并组建僵尸网络。
目前被感染的MikroTik路由器总量已经超过二十万台,但是实际上半年厂商就已经发布固件对漏洞进行修复。
奈何太多太多的用户至今还未升级到最新版固件,这让黑客集团控制的僵尸网络规模越来越大呈现爆发趋势。
挖矿却出现意外情况:
最初黑客集团劫持所有访问然后加载在线挖矿代码,如在企业使用被感染的MikroTik那么所有员工都被劫持。
即只要用户通过MikroTik访问任意网站都会插入挖矿代码,这样为黑客集团提供源源不断的算力挖掘门罗币。
但万万没想到黑客似乎在配置挖矿脚本时出现意外,这个意外导致黑客配置的挖矿脚本无法连接到网际网络。
事情是这样子的:黑客使用CoinHive的在线挖矿脚本,但黑客还在路由上配置ACL代理列表用于控制访问等。
意外出现在黑客配置的ACL代理列表中,由于配置错误导致黑客使用的CoinHive代码都被自己的ACL拦截掉。
挖矿不成的黑客开始监视用户:
据奇虎实验室最新监测的数据,目前黑客集团开始=在MikroTik配置代理以便将用户流量转发到自己服务器。
也就是用户访问的任何网站任何数据全部先经过黑客的服务器,这样黑客就可以看到所有用户各种私密内容。
但黑客这种行为具体目的是什么暂时还不清楚,因为监视绝大多数普通用户的数据并不能产生多少实际收益。
MikroTik用户请排查路由代理设置:
如果你使用的是MikroTik路由器请立即前往路由器管理界面检查更新,如果有新版本则立即升级到最新版本。
同时用户应该检查路由器的代理设置是否正常,正常情况下代理设置应该为空不存在任何已经配置的数据等。
若已经被黑客监视则在代理设置中会出现SOCK4配置信息,看到此类信息请立即清除保存并重启路由器即可。
