دستورالعمل پاکسازی دستگاه های آلوده میکروتیک

تجهیزات ارتباطی شرکت میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموما در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین آسیب پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای ترافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می‌توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل‌های FTP، SMTP، HTTP، SMB و … اشاره کرد که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان به دست آوردن تمامی رمزهای عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می‌باشد را فراهم می‌کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب پذیری آن‌ها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌سایت و شبکه تعاملی منتشر نموده است.
با رصد انجام شده تعداد دستگاه‌های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹۸۰۵ عدد بوده است. تعداد دستگاه‌های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶۱۱۴ عدد بوده است که تمامی ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاه‌های داخل کشور شامل پورت 8291 (WINBOX) توانست تا حدی مانع افزایش تعداد قربانیان گردد.
با وجود همه اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدماتی اینترنتی که مالک یا بهره‌بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور هم‌چنان بروزرسانی نشده و آسیب پذیر می‌باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.
در موج اخیر حمله و سوء استفاده از تجهیزات آسیب پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره برداری می‌کنند، این حملات اصطلاحا CryptoJacking  نام دارد.
با رسانه‌ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری‌های دستگاه‌های میکروتیک این بار با هدف بهره برداری ارزکاوی آغاز شد. هم زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد.
برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارائه راهکارهای کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه‌های مرکز ماهر و توجه نشان دادن هکرها به این نوع حملات و هم‌چنین آلوده سازی دستگاه‌ها توسط فرآیند خودکار شاهد افزایش روزافزون تعداد دستگاه‌های آلوده شده در کشور هستیم.
روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می‌باشد. تا لحظه نگارش این گزارش بیش از ۱۷۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است. در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی‌های کارشناسان مرکز ماهر حاکی از این نکته است که منشا حملات این ۱۷۴۵۲ دستگاه حداکثر ۲۴ مهاجم می‌باشند. نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی، حتی بعد از بروزرسانی firmware نیز هم‌چنان در کنترل مهاجمین قرار دارند. شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاکسازی دستگاه‌های آلوده میکروتیک:

با در نظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب پذیری مجدد، اقدامات زیر صورت پذیرد:
۱. قطع ارتباط روتر از شبکه
۲. بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
۳. بروزرسانی firmware به آخرین نسخه منتشر شده توسط شرکت میکروتیک
۴. تنظیم مجدد روتر
۵. غیرفعال کردن دسترسی به پورت‌های مدیریتی (telnet,ssh,winbox,web) از خارج از شبکه (دسترسی مدیریتی صرفا از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق VPN انجام گردد.)
۶. با توجه به احتمال قوی نشت رمز قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.
در صورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می‌توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود هم‌چنان روش فوق توصیه می‌گردد:
۱. اعمال آخرین نسخه بروزرسانی بر روی دستگاه‌های میکروتیک
۲. بررسی گروه‌های کاربری و حساب دسترسی موجود
۳. تغییر رمز عبور حساب‌های موجود و حذف نام‌های کاربری اضافی و بدون کاربرد
۴. بررسی فایل‌های FLASH\WEBPROXY/ERROR.HTML,WEBPROXY/ERROR.HTML
۵. حذف اسکریپت ارزکاوی (COINHIVE) از فایل
۶. حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل‌ها
۷. حذف تمامی SCHEDULER TASKهای مشکوک
۸. حذف تمامی اسکریپت‌های مشکوک در مسیر SYSTEM/SCRIPT
۹. حذف تمامی فایل‌های مشکوک در مسیر فایل سیستم و پوشه‌های موجود
۱۰. بررسی تنظیمات بخش فایروال و حذف RULEهای اضافی و مشکوک
۱۱. اضافه کردن RULEهایی برای اعمال محدودیت دسترسی از شبکه‌های غیر مجاز
۱۲. بررسی جدول NAT و حذف قوانین اضافی و مشکوک
۱۳. غیر فعال کردن دسترسی TELNET , WEB
۱۴. محدود کردن دسترسی‌های مجاز به WINBOX
۱۵. غیرفعال کردن دسترسی به پورت‌های مدیریتی از خارج شبکه داخلی
۱۶. بررسی تنظیمات بخش SNIFFER و غیر فعال کردن CAPTURE , STREAMING در صورت عدم استفاده
۱۷. غیر فعال کردن تنظیمات WEBPROXY در صورت عدم استفاده
۱۸. غیر فعال کردن تنظیمات SOCKS در صورت عدم استفاده