Original-URL des Artikels: https://www.golem.de/news/mikrotik-proxy-server-fuegen-kryptominer-ein-1810-137071.html    Veröffentlicht: 11.10.2018 15:38    Kurz-URL: https://glm.io/137071

Mikrotik

Proxy-Server fügen Kryptominer ein

Gehackte Proxy-Server der Firma Mikrotik, die von Internet-Zugangsprovidern genutzt werden, fügen Kryptominer-Code in unverschlüsselte HTTP-Anfragen ein. Die entsprechende Lücke wurde bereits im März behoben, doch weiterhin sind hunderte Proxies aktiv.

Zahlreiche Internetnutzer werden beim Surfen heimlich auf Seiten weitergeleitet, die ihre Prozessorleistung missbrauchen, um Kryptowährungen zu erzeugen. Verantwortlich dafür sind gehackte Proxy-Server der Firma Mikrotik.

Auf das Problem machte uns der Golem.de-Leser und Softwareentwickler Max Schmitt aufmerksam. Er beobachtete bei seinen Internetverbindungen über den Provider TKN Deutschland, einem lokalen Provider aus Bayern, dass einzelne HTTP-Verbindungen Kryptomining-Code ausführten.

HTTP-Verbindungen laden Javascript-Kryptominer nach

Dabei wird die Verbindung so manipuliert, dass die eigentliche Webseite in einem Iframe dargestellt wird. Gleichzeitig wird eine Javascript-Datei geladen. Diese sorgt dann dafür, dass auf dem Rechner des Nutzers Berechnungen zur Erzeugung von Kryptowährung durchgeführt werden.

Die Verbindungen wurden bei TKN offenbar transparent über einen Proxy-Server geleitet. Golem.de konnte das Problem nachstellen, da der Proxy auch aus dem öffentlichen Internet erreichbar war. Besonders subtil gingen die Angreifer dabei nicht vor: Sekunden nach dem Seitenaufruf war das System vollständig ausgelastet und der CPU-Lüfter machte sich bemerkbar.

Max Schmitt hatte TKN bereits Mitte September auf dieses Problem hingewiesen. Daraufhin wurde es wohl zeitweise behoben, trat vor wenigen Tagen aber erneut auf.

Doch TKN ist nicht der einzige betroffene Provider. Einem Blogpost der Webseite Bad Packets Report zufolge waren Ende September weltweit über 200.000 Geräte von Mikrotik mit Kryptominer-Malware versehen.

Wir haben selbst nach entsprechenden Geräten gesucht und in Deutschland mehrere Hundert betroffene Proxy-Server gefunden. Sie verteilen sich über zahlreiche Provider. Wir haben die Liste der betroffenen IP-Adressen an das CERT Bund weitergegeben, das CERT will die betroffenen Provider entsprechend informieren.

Sicherheitslücke in Mikrotik-Produkten seit März behoben

Mutmaßlich verantwortlich für die gehackten Proxy-Server dürfte eine Sicherheitslücke sein, die Mikrotik im März behoben hat und die als CVE-2018-14847 geführt wird. Zwei Mitarbeiter des iranischen CERTs haben die Lücke im Detail analysiert. Demnach ist es möglich, Dateien der entsprechenden Geräte auszulesen. Damit lassen sich die Zugangsdaten der betroffenen Geräte auslesen. Da die Passwörter nicht gehasht sind, ist es damit direkt möglich, gültige Zugangsdaten zu erhalten und sich auf den entsprechenden Geräte einzuloggen.

Die meisten von uns gefundenen gehackten Geräte beziehen ihren Javascript-Code von zwei Domains. Eine davon wurde inzwischen stillgelegt, somit dürfte der Angriff teilweise ins Leere laufen. Bei der anderen wird der Code von der Firma Coinhive genutzt.

Provider, die entsprechende Hardware einsetzen, sollten diese natürlich umgehend auf den aktuellsten Stand bringen. Generell gilt: Derartige Angriffe sind nur bei unverschlüsselten HTTP-Verbindungen möglich. Solche Angriffe zeigen damit auch, dass es generell sinnvoll ist, Webseiten über HTTPS auszuliefern - selbst bei rein statischen Webseiten. Denn HTTPS dient nicht nur dazu, zu verschlüsseln, sondern auch, Manipulationen an Netzverbindungen zu verhindern.  (hab)


Verwandte Artikel:
Coinhive: Kryptominingskript in Chat-Widget entdeckt   
(24.11.2017, https://glm.io/131327 )
Bakkt: Eigentümer der New Yorker Börse kündigt Bitcoin-Plattform an   
(06.08.2018, https://glm.io/135858 )
Schweden: Netzbetreiber bietet 10 GBit/s für 45 Euro   
(23.02.2018, https://glm.io/132957 )
Play Store: Google verbietet Mehrfach-Apps mit den gleichen Funktionen   
(27.07.2018, https://glm.io/135721 )
Inno3D: Autarker Kryptominer mit acht GPUs fürs 19-Zoll-Rack   
(13.06.2018, https://glm.io/134944 )

© 1997–2019 Golem.de, https://www.golem.de/