Ботнет Trickbot облюбовал роутеры MikroTik. Сейчас Microsoft выяснила, почему
Специалистам по информационной безопасности ботнет Trickbot известен с 2016 года. Его главная задача при заражении устройства — отслеживание конфиденциальной информации пользователя. Не фоточек или видео, нет — связок пароль/логин для банковских и других приложений и сервисов. В целом, ботнет заточен под корпоративный шпионаж, но страдают от него и обычные пользователи, причем пострадавших много. Со временем выяснилось, что ботнет особенно сильно «любит» роутеры Mikrotik, сейчас представители корпорации Microsoft выяснили, почему так сложилось.
В чем опасность ботнета
С момента своего появления главным предназначением зловредного ПО Trickbot является кража паролей пользователей к учетным записям в разных банках. Полученные данные кибепреступники активно используют в банковских же аферах.
С течением времени ботнет стал не только воровать данные пользователей. Его «научили» специальным образом модифицировать трафик пользователей и распространяться по сети. После того, как вирус попал в систему, он открывает доступ для новых зловредов, хороших и разных. В общем, универсальный инструмент в руках киберпреступников.
Ботнет стал настолько опасным, что Microsoft и другим крупным корпорациям пришлось даже организовать совместную операцию по саботажу инфраструктуры управления и контроля (C2), используемой вредоносным ПО Trickbot. Партнерами Microsoft в этой непростой борьбе стали ESET, Lumen’s Black Lotus Labs, NTT, Symantec и другие компании.
Microsoft решила найти лазейку в законодательстве для того, чтобы уничтожить инфраструктуру ботнета. Корпорация смогла использовать в суде закон США о товарных знаках для того, чтобы ликвидировать инфраструктуру ботнета. В 2020 году корпорация сообщила следующее: «Мы отключили ключевые компоненты инфраструктуры, чтобы те, кто управляет Trickbot, не смогли инициировать новые заражения или активировать вирусы-вымогатели, уже внедренные в компьютерные системы».
Правда, после этих действий ботнет не умер полностью, но все же его удалось значительно ослабить. Исследователи заметили одну вещь — зловред почему-то очень активно работал с роутерами Mikrotik, атакуя их активнее прочих сетевых девайсов. Ну и сейчас корпорация Microsoft выяснила, почему так случилось.
Если вы читаете наш блог, вас могут заинтересовать эти тексты:→ Как мы выбирали лучшие из новых видеокарт NVIDIA
→ Зачем дата-центры устанавливают динамические источники бесперебойного питания
→ Стоит ли создавать собственный корпус для сервера
Что удалось выяснить?
В среду корпорация Microsoft заявила, что операторы ботнета активно компрометируют роутеры Microtic для того, чтобы использовать их с целью сокрытия местоположения серверов управления и контроля, которые служат для сбора данных с зараженных компьютеров, а также для отправки команд операторов ботнету.
Схема достаточно простая и вместе с тем оригинальная. Вместо того, инфицированные ПК и ноутбуки подключались к управляющим серверам, они сначала подключаются с зараженным роутерам. А потом уже — к серверам оператора ботнета. Таким образом, роутеры Mikrotik являются «посредниками» в деле, организованном киберпреступниками.
Заражение роутеров — достаточно разумный ход взломщиков. Дело в том, что когда сотрудники отдела безопасности в компании анализируют соединения зараженных компьютеров, то безопасники видят лишь IP-адреса, которые принадлежат маршрутизаторам. То есть, почти полная иллюзия нормальной работы сети. Соответственно, расположение управляющих серверов скрыто и не может быть обнаружено без прямого доступа к прокси-маршрутизатору.
Именно таким образом злоумышленники добивались создания надежной, но сложно обнаруживаемой линии связи между зараженными ПК и ноутбуками и сервером С2. Стандартные системы защиты просто не обнаруживали никаких подозрительных активностей. Ну, а начиналось все как раз со взлома маршрутизатора MikroTik.
Откуда такая любовь к производителю роутеров?
Дело в том, что девайсы от MikroTik работают с уникальной ОС, которая называется MikroTik RouterOS. Она дает возможность пользователям дистанционно передавать команды, которые используют протокол SSH. Достоинство роутеров, их гибкость, функциональность и возможность работы с большим количеством команд, превратилась в слабое место. Операторы Trickbot при помощи всего одной команды заставляли большое количество устройств направлять трафик определенным образом. Пример команды:
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses= dst-address=
Она создает новое правило, которое дает возможность получать данные от скомпрометированных компьютеров через порт 449. А потом эти данные передаются уже на командные серверы ботнета через 80-й порт.
Команда, к слову, вполне обычная, если так можно выразиться «легальная». Но в данном кейсе речь идет об использовании вполне обычных команд такого типа злоумышленниками в своих интересах.
Способ взлома роутеров
Для массового взлома роутеров злоумышленники использовали несколько векторов атаки:
• Самая простая атака, направленная на роутеры с дефолтными паролями от Mikrotik.
• Подбор паролей, возможно, с использованием данных, ранее собранных с других устройств Mikrotik.
• Эксплуатация уязвимости CVE-2018–14847 на устройствах с версией RouterOS старше 6.42. Этот способ позволяет считывать файлы вроде user.dat. К слову, именно эта уязвимость считается одной из наиболее критических для роутеров указанной компании.
Как только удавалось взломать роутер, злоумышленники меняли пароль для предотвращения перехвата управления девайсом со стороны владельца или кого-либо еще.
Для того, чтобы обезопасить пользователей, корпорация Microsoft выпустила открытый инструмент, который позволяет вести мониторинг состояния маршрутизаторов — как дома, так и в офисе. В ходе мониторинга решение от Microsoft выполняет несколько задач, включая:
• Получение версии устройства и ее сопоставление со всеми неисправленными уязвимостями.
• Проверка запланированных тасков.
• Поиск подозрительных NAT-правил.
• Поиск DNS cache poisoning.
• Обнаружение изменений дефолтных портов.
• Поиск созданных пользователей, не являющихся дефолтными.
В целом, самый простой способ избежать заражения — это отключение удаленного доступа. Конечно, в том случае, если он не нужен пользователю. Ну и плюс стандартные методы вроде уникальных паролей, регулярной их смены, обновлении прошивки и т.п.
Если все реализовать корректно, то проблем не будет. Не болейте.
