Mikrotik: Proxy-Server fügen Kryptominer ein

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Artikel veröffentlicht am , Hanno Böck
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv.
Wenn der Prozessor beim Aufruf von Webseiten unerwartet heiß läuft, ist möglicherweise ein Kryptominer aktiv. (Bild: Marcus Obal, Wikimedia Commons/CC-BY-SA 3.0)

Zahlreiche Internetnutzer werden beim Surfen heimlich auf Seiten weitergeleitet, die ihre Prozessorleistung missbrauchen, um Kryptowährungen zu erzeugen. Verantwortlich dafür sind gehackte Proxy-Server der Firma Mikrotik.

Stellenmarkt
  1. Mathematiker, Statistiker, Aktuar im Aktuariat (m/w/d)
    Allianz Deutschland AG, Unterföhring
  2. Java Entwickler (m/w/d)
    ilum:e informatik ag, Mainz
Detailsuche

Auf das Problem machte uns der Golem.de-Leser und Softwareentwickler Max Schmitt aufmerksam. Er beobachtete bei seinen Internetverbindungen über den Provider TKN Deutschland, einem lokalen Provider aus Bayern, dass einzelne HTTP-Verbindungen Kryptomining-Code ausführten.

HTTP-Verbindungen laden Javascript-Kryptominer nach

Dabei wird die Verbindung so manipuliert, dass die eigentliche Webseite in einem Iframe dargestellt wird. Gleichzeitig wird eine Javascript-Datei geladen. Diese sorgt dann dafür, dass auf dem Rechner des Nutzers Berechnungen zur Erzeugung von Kryptowährung durchgeführt werden.

Die Verbindungen wurden bei TKN offenbar transparent über einen Proxy-Server geleitet. Golem.de konnte das Problem nachstellen, da der Proxy auch aus dem öffentlichen Internet erreichbar war. Besonders subtil gingen die Angreifer dabei nicht vor: Sekunden nach dem Seitenaufruf war das System vollständig ausgelastet und der CPU-Lüfter machte sich bemerkbar.

Golem Akademie
  1. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
Weitere IT-Trainings

Max Schmitt hatte TKN bereits Mitte September auf dieses Problem hingewiesen. Daraufhin wurde es wohl zeitweise behoben, trat vor wenigen Tagen aber erneut auf.

Doch TKN ist nicht der einzige betroffene Provider. Einem Blogpost der Webseite Bad Packets Report zufolge waren Ende September weltweit über 200.000 Geräte von Mikrotik mit Kryptominer-Malware versehen.

Wir haben selbst nach entsprechenden Geräten gesucht und in Deutschland mehrere Hundert betroffene Proxy-Server gefunden. Sie verteilen sich über zahlreiche Provider. Wir haben die Liste der betroffenen IP-Adressen an das CERT Bund weitergegeben, das CERT will die betroffenen Provider entsprechend informieren.

Sicherheitslücke in Mikrotik-Produkten seit März behoben

Mutmaßlich verantwortlich für die gehackten Proxy-Server dürfte eine Sicherheitslücke sein, die Mikrotik im März behoben hat und die als CVE-2018-14847 geführt wird. Zwei Mitarbeiter des iranischen CERTs haben die Lücke im Detail analysiert. Demnach ist es möglich, Dateien der entsprechenden Geräte auszulesen. Damit lassen sich die Zugangsdaten der betroffenen Geräte auslesen. Da die Passwörter nicht gehasht sind, ist es damit direkt möglich, gültige Zugangsdaten zu erhalten und sich auf den entsprechenden Geräte einzuloggen.

Die meisten von uns gefundenen gehackten Geräte beziehen ihren Javascript-Code von zwei Domains. Eine davon wurde inzwischen stillgelegt, somit dürfte der Angriff teilweise ins Leere laufen. Bei der anderen wird der Code von der Firma Coinhive genutzt.

Provider, die entsprechende Hardware einsetzen, sollten diese natürlich umgehend auf den aktuellsten Stand bringen. Generell gilt: Derartige Angriffe sind nur bei unverschlüsselten HTTP-Verbindungen möglich. Solche Angriffe zeigen damit auch, dass es generell sinnvoll ist, Webseiten über HTTPS auszuliefern - selbst bei rein statischen Webseiten. Denn HTTPS dient nicht nur dazu, zu verschlüsseln, sondern auch, Manipulationen an Netzverbindungen zu verhindern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


sg-1 12. Okt 2018

Ich hoffe,er arbeitet überhaupt nicht in der IT

KOTRET 12. Okt 2018

Da zeigt es sich wieder wie notwendig eine gute Qualitätsicherung, Test und Code-Audits sind.

gaym0r 12. Okt 2018

Mit HTTPS wäre das nicht passiert. Zum Glück wird das endlich immer verbreiteter.

RipClaw 11. Okt 2018

Das ist kein Proxy den du dir im Browser einstellst. Dieser wird einem vom...



Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Energiespeicher: Große Druckluftspeicher locken Investorengelder an
    Energiespeicher
    Große Druckluftspeicher locken Investorengelder an

    Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
    Von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /