១. ព័ត៌មានទូទៅ
ឧក្រិដ្ឋជនបច្ចេកវិទ្យាបានចម្លងមេរោគទៅកាន់ឧបករណ៍ Router MikroTik ច្រើនជាង ១៥០,០០០ ដើម្បីប្រាស់ប្រាស់ Router ទាំងនោះក្នុងប្រតិបត្តិការ Coinhive Cryptojacking សម្រាប់ mining cryptocurrency។
ចំនុចខ្សោយដែលមានលើឧបករណ៍ Router MikroTik បានក្លាយទៅជាគោលដៅនៃយុទ្ធនាការសម្រាប់ប្រើប្រាស់បញ្ចូលមេរោគ cryptojacking នៅប្រទេសប្រេស៊ីល បើយោងតាមការវិភាគរបស់លោក Simon Kenin អ្នកស្រាវជ្រាវសុវត្ថិភាពនៃក្រហ៊ុន Trustwave បានឱ្យដឹងថា ការកើនឡើងនៃការវាយប្រហារតាមអ៊ីនធឺណិតប្រភេទ cryptojacking/cryptomining ដែលមិនធ្លាប់មានពីមុនមកនៅក្នុងប្រទេសប្រេស៊ីលត្រូវបានគេសង្កេតឃើញ ហើយ Router ជាង 200,000 ផលិតដោយក្រុមហ៊ុន MikroTik ត្រូវបានប្រើនៅក្នុងយុទ្ធនាការនេះ។
២. ឧបករណ៍ដែលរងគ្រោះ
មេរោគកំណត់គោលដៅលើឧបករណ៍ Router MikroTik ដែលមានចំនុចខ្សោយ នៅក្នុងប្រទេសប្រេស៊ីល ប៉ុន្តែអ្នកស្រាវជ្រាវជឿជាក់ថាវាអាចនឹងរីករាលដាលនៅទូទាំងពិភពលោក។
៣.ដំណើរការ និងផលប៉ះពាល់
PoC (Proof of Concept) ត្រូវបានសរសេរជាភាសា Python ត្រូវបានប្រើដោយឧក្រិដ្ឋជនបច្ចេកវិទ្យា (cybercriminals) ដើម្បីគ្រប់គ្រង Router ដោយប្រើកូដទាញយកកម្មវិធី browser-based cryptomining របស់ CoinHive ដូចនេះនៅពេលដែលអ្នកប្រើប្រាស់ព្យាយាមចូលប្រើអ៊ីនធើណិតតាមរយៈ MikroTik Proxy នឹងជួបប្រទះបញ្ហា HTTP Error ដោយសារតែ Javascript របស់ CoinHive ត្រូវបានដាក់បញ្ចូលទៅក្នុងទំព័រដែលអ្នកប្រើប្រាស់ភ្ជាប់ទៅកាន់តាមរយៈឧបករណ៍ Router ដែលបានរងគ្រោះ ហើយបន្ទាប់មកឧបករណ៍នោះនឹងចាប់ផ្តើមធ្វើប្រតិបត្តិការ mining Monero cryptocurrency (រូបិយប័ណ្ណឌីជីថល) សម្រាប់អ្នកវាយប្រហារ។
ដោយប្រើវិធីសាស្រ្ត salt-hash-stretch cryptographic អ្នកវាយប្រហារអាចផ្ទៀងផ្ទាត់ថាតើពាក្យសម្ងាត់ត្រឹមត្រូវ ឬអត់ដោយគ្រាន់តែផ្គូផ្គងវាជាមួយទិន្នន័យក្នុង Database។
អ្នកវាយប្រហារបានធ្វើការដូរនូវឯកសារ MikroTik’s built-in web proxy ដែលមានឈ្មោះថា Error.html ដែលឯកសារនឹងត្រូវបើកនៅពេលណាដែលមានកំហុសទាក់ទងនឹង Proxy ហើយបានដាក់បញ្ចូលទំព័រមួយ ដើម្បីឈានទៅប្រើប្រាស់កម្មវិធី CoinHive’s cryptomining ហេតុដូចនេះអ្នកប្រើប្រាស់នឹងរងគ្រោះដោយសារ cryptojacked នៅពេលភ្ជាប់ទៅកាន់វេបសាយតាមយៈ proxy MikroTik ហើយប្រតិបត្តិការរងគ្រោះដោយសារការ mininig និងបិទទៅវិញនូវពេលអ្នកឈប់ភ្ជាប់ទៅកាន់វេបសាយ។
៤. អនុសាសន៍ណែនាំ
អភិបាលគ្រប់គ្រង និងម្ចាស់ឧបករណ៍អាចធ្វើតាមការណែនាំដូចខាងក្រោម៖
- ដំណើរការនូវ factory reset , reboot និង ជួសជុលឧបករណ៍របស់ពួកគេជាមួយនឹងជំនាន់ចុងក្រោយបំផុតនៃ firmware
- បិទមុខងារ remote administrative នៅក្នុងឧករណ៍ បើសិនជាអ្នកមិនប្រើប្រាស់មុខងារមួយនេះទេ
- សូមចូលទៅកាន់វេបសាយរបស់អ្នកផ្គត់ផ្គង់ផលិតផលសម្រាប់ព័ត៌មានបន្ថែមក្នុងការអាប់ដេត MikroTik
៥.វេសាយពាក់ព័ន្ធ
https://www.hackread.com/mikrotik-routers-hit-by-cryptocurrency-malware/
https://gbhackers.com/over-200000-mikrotik-routers-infected/
