นักวิจัยด้าน Security หลายรายได้ออกมาเปิดเผยถึงการค้นพบแคมเปญการโจมตีแบบ Cryptojacking ที่มีเป้าหมายคือ MikroTik Router จำนวนมากกว่า 200,000 เครื่องทั่วโลก เพื่อใช้แทรก Cryptocurrency Mining Script เข้าไปในเว็บไซต์ของผู้ใช้งานที่เชื่อมต่อ Internet ผ่าน MikroTik
นักวิจัยชาวบราซิลที่ใช้ชื่อว่า MalwareHunterBR บน Twitter ได้ออกมาเผยถึงการค้นพบการโจมตีในแคมเปญดังกล่าวที่มี MikroTik Router ตกเป็นเหยื่อมากขึ้นอย่างต่อเนื่อง ในขณะที่ Simon Kenin นักวิจัยจาก Trustwave เองก็ได้นำการค้นพบนี้ไปทำการวิจัยขยายผล และพบว่าเพียงแค่ในประเทศบราซิลประเทศเดียว ก็มี MikroTik Router ตกเป็นเหยื่อแล้วมากถึง 72,000 อุปกรณ์
การโจมตีครั้งนี้อาศัยช่องโหว่ Zero-Day บน Winbox ที่มีการค้นพบเมื่อเดือนเมษายน 2018 ที่ผ่านมา ซึ่งถึงแม้ทาง MikroTik จะออก Patch อุดช่องโหว่นั้นภายในเวลาเพียงไม่ถึง 1 วัน แต่เหล่าผู้ใช้งาน MikroTik เองนั้นกลับไม่ได้ทำการอัปเดต Patch ดังกล่าว ทำให้สามารถถูกโจมตีเจาะช่องโหว่เข้ามาได้ อีกทั้ง ISP ของบราซิลเองนั้นก็มีการใช้งาน MikroTik ด้วย ทำให้เหล่าผู้ใช้บริการของ ISP รายนั้นๆ ถึงแม้จะไม่ได้มี MikroTik ไว้ในครอบครองเอง ก็ตกเป็นเหยื่อของการโจมตีครั้งนี้ด้วยเช่นกัน
อย่างไรก็ดี การโจมตีนี้ถือว่ามีความพยายามในการหลบซ่อนจากสายตาของผู้ใช้งานอย่างแนบเนียน โดยการฝั่ง Cryptocurrency Mining Script นั้นจะเกิดขึ้นก็ต่อเมื่อมีการแสดง Error Page จาก Router เท่านั้น ทำให้โดยทั่วไปแล้วประสบการณ์ของผู้ใช้งานเครือข่ายที่ตกเป็นเหยื่อก็ไม่ได้รับผลกระทบอะไรมากนัก
การโจมตีนี้มีอุปกรณ์ MikroTik ทั่วโลกตกเป็นเหยื่อรวมกันราวๆ 175,000 ราย และเชื่อว่ามีผู้โจมตีเพียงรายเดียวหรือกลุ่มเดียวเท่านั้น เพราะใช้ Coinhive Key เดียวกันทั้งหมดในการโจมตี
นอกจากนี้ Troy Mursch นักวิจัยด้าน Security อีกรายหนึ่งก็ได้รายงานเข้ามาถึงการค้นพบการโจมตีรูปแบบเดียวกัน แต่มี Coinhive Key อีกชุดหนึ่ง ซึ่งก็มีอุปกรณ์ MikroTik Router ตกเป็นเหยื่ออีก 25,000 ราย
การโจมตีนี้อาจจะยังไม่หยุดยั้งแค่นี้ เพราะจากการค้นหาอุปกรณ์ด้วย Shodan นั้นพบว่ามีอุปกรณ์ MikroTik ที่เปิดให้เข้าถึงได้ผ่าน IP จริงทั่วโลกทั้งสิ้น 1.7 ล้านอุปกรณ์เลยทีเดียว
ผู้ใช้งาน MikroTik เองก็ควรต้องติดตามข่าวสารด้าน Security ให้ดี, ตั้งค่าอุปกรณ์ให้มั่นคงปลอดภัย และหมั่นอัปเดต Patch อย่างสม่ำเสมอด้วยครับ