俄罗斯“网络义警”入侵十余万台过时Mikrotik路由器为其杀毒

八月初，专家发现了大规模Crypto-jacking加密货币劫持，其瞄准Mikrotik路由器，在网站流量中注入Coinhive加密货币挖矿脚本。

此次入侵源于巴西，其瞄准Mikrotik路由器并迅速蔓延至其他国家，感染路由器达20万余台。

九月，新一轮加密货币劫持攻击了数千台未打补丁的Mikrotik路由器。

攻击者还利用攻击代码入侵Mikrotik路由器漏洞（CVE-2018-14847），利用Mirai，VPNFilter等僵尸网络感染路由器。

说俄语的网络义警亚历西自称为系统管理员，他决定修复Mikrotik路由器。

亚历西在俄国某博客平台对其活动进行了说明，称其入侵路由器是为了更改设置，防止路由器遭受进一步的感染。

亚历西在博客中写道：“我设置了防火墙规则，防止黑客从外部网络非法入侵路由器。评论中，我写下了漏洞相关信息，以及 Telegram channel地址：@router_os，若您有任何疑问，欢迎来此向我提问。”

亚历西为十万余用户更改了设置，仅50名用户通过Telegram联系了他，且对此次入侵非常生气。

据研究员特洛伊·穆尔希（Troy Mursch）称，目前暴露MikroTik路由器达42万余台，受加密货币劫持攻击的也只有这42万余台路由器。

MikroTik 路由器仍将遭受攻击，且情况日益恶化，因为黑客可执行新的概念原型（PoC）代码。

最近，Tenable Research 专家们发现了新的攻击技术，黑客可远程利用该技术在存在漏洞的设备上执行任意代码。

10月7日，Tenable Research专家们在Derbycon上发表了题为“Bug Hunting in RouterOS”的演讲，介绍这项新技术，该技术利用了一个已知的目录遍历漏洞CVE-2018-14847。

值得注意的是，虽然亚历西入侵受感染的路由器是为了杀毒，但在法律上其行为仍属于“网络犯罪”。

这个故事的反面是，即使安全补丁已经发布数月，ISPs及路由器家用者仍没有对其进行安装。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。