Microsoft выпустила сканер для выявления взломанных Trickbot устройств MikroTik

Компания Microsoft выпустила инструмент для сканирования и выявления IoT-устройств MikroTik, взломанных киберпреступной группировкой Trickbot.

Сканер с открытым исходным кодом вышел после того, как команда исследователей Microsoft Defender for IoT обнаружила серию хакерских атак на маршрутизаторы MikroTik, в ходе которых злоумышленники настраивали их таким образом, чтобы входящие и исходящие данные с инфицированных Trickbot компьютеров отправлялись на подконтрольные им серверы.

По словам специалистов, хакеры взламывают устройства MikroTik для усиления связи Trickbot с его C&C-серверами. Разными способами (в том числе с помощью подстановки заводских паролей MikroTik и брутфорса) группировка сначала получает учетные данные для шлюзов. Или же она эксплуатирует уязвимость CVE-2018-14847 в устройствах под управлением RouterOS до версии 6.42. Это позволяет злоумышленникам читать произвольные файлы, такие как user.dat, содержащие пароли.

Затем с целью сохранения постоянного доступа к маршрутизатору хакеры меняют пароль и используют взломанное устройство для отправки команд зараженным Trickbot системам в сети, чтобы запускать вымогательское ПО, генерировать криптовалюту, похищать или удалять данные и пр.

Исследователи зафиксировали отправляемые хакерами зараженным устройствам специальные для MikroTik команды RouterOS для настройки переадресации C&C-трафика, а затем отследили их до источника.

«Устройства MikroTik имеют уникальную ОС на базе ядра Linux под названием RouterOS с уникальной SSH-оболочкой, доступ к которой можно получить по протоколу SSH с помощью зарегистрированного набора команд с префиксом /», - пояснили исследователи.

Предложенный Microsoft сканер подключается к устройствам MikroTik и, помимо прочего, ищет правила конфигурации для переадресации трафика и изменения портов, которые могут свидетельствовать о заражении Trickbot.