Microsoft κυκλοφόρησε αυτήν την εβδομάδα ένα εργαλείο ανοιχτού κώδικα που μπορεί να χρησιμοποιηθεί για την ασφάλεια των δρομολογητών MikroTik και τον έλεγχο για ενδείξεις κατάχρησης που σχετίζονται με το κακόβουλο λογισμικό Trickbot.
Το TrickBot είναι ένα κακόβουλο λογισμικό που κυκλοφορεί από το 2016. Αρχικά ήταν ένα τραπεζικό trojan που σχεδιάστηκε για να κλέβει οικονομικά δεδομένα, αλλά έχει εξελιχθεί σε ένα αρθρωτό stealer που μπορεί να στοχεύσει ένα ευρύ φάσμα πληροφοριών.
Ορισμένοι ερευνητές πιστεύουν ότι το κακόβουλο λογισμικό έχει φτάσει στα όριά του – ο τεράστιος όγκος των διαθέσιμων IoC καθιστά εύκολο τον εντοπισμό του – και ότι η ομάδα ανάπτυξής του έχει «αγοραστεί» από τη διαβόητη ομάδα ransomware Conti.
Ωστόσο, το κακόβουλο λογισμικό φαίνεται να είναι λειτουργικό, καθώς ορισμένες εταιρείες κυβερνοασφάλειας εξακολουθούν να βλέπουν σημαντικές καμπάνιες που απευθύνονται σε πελάτες δεκάδων εταιρειών υψηλού προφίλ.
Οι χειριστές Trickbot καταχρώνται τους δρομολογητές για σκοπούς εντολής και ελέγχου (C&C) για μεγάλο χρονικό διάστημα, αξιοποιώντας τους ως proxies για διακομιστές C&C σε μια προσπάθεια να αποφύγουν τον εντοπισμό. Η κατάχρηση προϊόντων MikroTik από το Trickbot επισημάνθηκε το 2020, αφού το κακόβουλο λογισμικό επιβίωσε από μια προσπάθεια κατάργησης υπό την ηγεσία της Microsoft.
Η Microsoft λέει τώρα ότι οι ερευνητές της έχουν καθορίσει ακριβώς πώς γίνεται κατάχρηση των δρομολογητών MikroTik και ο τεχνολογικός γίγαντας έχει δημιουργήσει ένα εργαλείο που μπορεί να χρησιμοποιηθεί για τον έλεγχο αυτών των συσκευών για σημάδια πειρατείας που σχετίζονται με το Trickbot.
Σύμφωνα με τη Microsoft, οι εισβολείς θέτουν σε κίνδυνο πρώτα τους δρομολογητές MikroTik, συνήθως χρησιμοποιώντας προεπιλεγμένους κωδικούς πρόσβασης, μέσω επιθέσεων brute-force ή εκμεταλλευόμενοι μια παλιά ευπάθεια για να διαβάσουν ένα αρχείο που περιέχει κωδικούς πρόσβασης.
«Οι εισβολείς εκδίδουν στη συνέχεια μια μοναδική εντολή που ανακατευθύνει την κυκλοφορία μεταξύ δύο θυρών στο δρομολογητή, δημιουργώντας τη γραμμή επικοινωνίας μεταξύ συσκευών που επηρεάζονται από το Trickbot και του C2», εξήγησε. «Οι συσκευές MikroTik διαθέτουν μοναδικό υλικό και λογισμικό, RouterBOARD και RouterOS. Αυτό σημαίνει ότι για να εκτελέσουν μια τέτοια εντολή, οι εισβολείς χρειάζονται εξειδίκευση στις εντολές του κελύφους RouterOS SSH.
Το εργαλείο ανοιχτού κώδικα που διατίθεται από τη Microsoft αυτή την εβδομάδα ονομάστηκε RouterOS Scanner και έχει περιγραφεί ως εργαλείο εγκληματολογίας για συσκευές MikroTik. Το εργαλείο μπορεί να αναζητήσει αδυναμίες και ύποπτες ιδιότητες που θα μπορούσαν να υποδεικνύουν ότι η συσκευή έχει παραβιαστεί.
Συγκεκριμένα, το εργαλείο ελέγχει την έκδοση της συσκευής και την αντιστοιχίζει σε γνωστά τρωτά σημεία. Αναζητά επίσης προγραμματισμένες εργασίες, κανόνες ανακατεύθυνσης κυκλοφορίας, δηλητηρίαση κρυφής μνήμης DNS, αλλαγές προεπιλεγμένων θυρών, μη προεπιλεγμένους χρήστες, ύποπτα αρχεία, καθώς και κανόνες μεσολάβησης, SOCKS και τείχους προστασίας.