黑客集团开始动用被感染的MikroTik路由监听用户流量

早前就有安全公司发现拉脱维亚的路由器品牌MikroTik由于存在安全漏洞而被黑客集团利用并组建僵尸网络。

目前被感染的MikroTik路由器总量已经超过二十万台，但是实际上半年厂商就已经发布固件对漏洞进行修复。

奈何太多太多的用户至今还未升级到最新版固件，这让黑客集团控制的僵尸网络规模越来越大呈现爆发趋势。

挖矿却出现意外情况：

最初黑客集团劫持所有访问然后加载在线挖矿代码，如在企业使用被感染的MikroTik那么所有员工都被劫持。

即只要用户通过MikroTik访问任意网站都会插入挖矿代码，这样为黑客集团提供源源不断的算力挖掘门罗币。

但万万没想到黑客似乎在配置挖矿脚本时出现意外，这个意外导致黑客配置的挖矿脚本无法连接到网际网络。

事情是这样子的：黑客使用CoinHive的在线挖矿脚本，但黑客还在路由上配置ACL代理列表用于控制访问等。

意外出现在黑客配置的ACL代理列表中，由于配置错误导致黑客使用的CoinHive代码都被自己的ACL拦截掉。

挖矿不成的黑客开始监视用户：

据奇虎实验室最新监测的数据，目前黑客集团开始=在MikroTik配置代理以便将用户流量转发到自己服务器。

也就是用户访问的任何网站任何数据全部先经过黑客的服务器，这样黑客就可以看到所有用户各种私密内容。

但黑客这种行为具体目的是什么暂时还不清楚，因为监视绝大多数普通用户的数据并不能产生多少实际收益。

MikroTik用户请排查路由代理设置：

如果你使用的是MikroTik路由器请立即前往路由器管理界面检查更新，如果有新版本则立即升级到最新版本。

同时用户应该检查路由器的代理设置是否正常，正常情况下代理设置应该为空不存在任何已经配置的数据等。

若已经被黑客监视则在代理设置中会出现SOCK4配置信息，看到此类信息请立即清除保存并重启路由器即可。