Çinli Netlab 360'ın araştırmacıları, Letonyalı router markası MikroTik tarafından üretilen router'ların, WikiLeaks'in CIA "Vault7" araç setinin unsurlarının yayınlamasıyla kamuya sunulmuş bir güvenlik açığına dayanan bir zararlı yazılım tarafından tehdit altında olduğunu keşfettiler.
Netlab 360'tan Genshen Ye tarafından yayınlanan bir raporda 7500'den fazla router'ın, ağ trafiğini uzak sunuculara aktif olarak yönlendiren saldırganlar tarafından gözetlendiği bildirildi. Ek olarak, 239 bin cihaz ise küçük bir Internet adres bloğundan erişilebilen SOCKS 4 proxylerine dönüştürülmüş durumda.
MikroTik, açık ortam fiber router'ları ve kablosuz backbone'lar gibi ISS ve kampüs ağ altyapısı dahil olmak üzere dünya çapında internet servis sağlayıcıları ve işletmeler için yönlendirme ve kablosuz donanım sağlamakta. NetLab 360 tarafından keşfedilen ve oldukça yaygın olan bu savunmasız router'lar, hala şirketin Winbox router yapılandırma programının güncellenmemiş bir arayüzünü kullanmakta. En çok etkilenen ağlar ise Brezilya ve Rusya'da bulunmakta. ABD merkezli IP adresleri kullanılarak çalışan cihazların sayısı ise 14.000.
Daha önce, Trustwave'deki araştırmacılar MikroTik router'larını hedef alan iki kötü amaçlı yazılım keşfetmişlerdi; bunlardan ilki CoinHive kötü amaçlısı ile Brezilya'daki router'ları hedef alıyordu. Saldırı, Coinhive JavaScript'ini router'ların Web proxy sunucusu tarafından sunulan bir hata sayfasına enjekte etmekte ve tüm web taleplerini ağdan hata sayfasına yönlendirmekteydi. Ancak Netlab 360 ekibi tarafından keşfedilen bu kötü amaçlı yazılımdan etkilenen router'larda, saldırganlar tabiri caizse kendi topuklarına sıkmışlardı. Konuyla ilgili Genshen Ye, "coinhive.com'dan gelen ve dijital para madenciliği için gerekli olan kaynaklar da dahil olmak üzere tüm harici web kaynakları, bizzat saldırganlar tarafından kurulmuş erişim kontrol listeleri tarafından engellenmekte" açıklamasında bulundu.
Netlab 360 ekibi tarafından keşfedilen bir diğer saldırı ise etkilenen router'ları, pek kullanılmayan bir TCP portu olan 4153 üzerinden SOCKS4 protokolü kullanarak zararlı birer proxy ağına çevirmekte. Ye'nin bir diğer açıklaması ise "Çok ilginçtir ki, Socks4 proxy ayarları yalnızca 95.154.216.128/25 bloğuna izin vermekteydi" şeklinde oldu. Trafiğin neredeyse tamamı, Birleşik Krallık'ta bir hosting hizmeti ile ilişkili bir adres olan 95.154.216.167'ye gitmekte.
Saldırı, router'ın yeniden başlatılması durumunda SOCKS proxy'sinin sürekliliğini korumaya yardımcı olması için router'ın IP adresinin saldırgana geri bildirilmesi için zamanlanmış bir görev de içermekte. Proxy'lerin ne için toplandığı net değil ama şu anda başka savunmasız router'lar bulmak için sürekli kullanılıyorlar.
Dinleme saldırısı, MikroTik'in dahili paket sniffing özelliklerinden yararlanıyor. TZSP protokolünü kullanan sniffer, Wireshark veya diğer paket izleme araçlarını kullanarak uzak bir sisteme paket akışı gönderebilmekte. Netlab 360 ekibi, ele geçirilen 7,500'den fazla router'ın, ağ trafiğini -büyük ölçüde FTP ve e-posta odaklı trafiği ve ağ yönetimiyle ilişkili bazı trafik akışlarını- yalnızca birkaç adrese aktardığını fark etti. Akışların büyük çoğunluğu (5,164'ü) Belize'de bir İnternet Servis Sağlayıcı ile ilişkili bir adrese gönderiliyordu.
