Microsoft: routery MikroTik narażone na zhakowanie

24 marca 202224 marca 2022 Maciej Lewczuk botnet, CVE-2018-14847, cyberatak, cyberbezpieczeństwo, cyberprzestępcy, cyberzagrożenie, GitHub, hakerzy, Microsoft, MikroTik, routery, Trickbot, trojan

Microsoft donosi, że routery MikroTik mogą być narażone na zhakowanie i użycie jako botnet-as-a-service przez trojana TrickBot. Problem ma dotyczyć ponad 230 tys. urządzeń. Microsoft udostępnił narzędzie do wykrywania zarażonych routerów.

Avast's @thinkcz also writes about vulnerable MikroTik routers being abused by a botnet-as-a-service. The botnet is responsible for distributing cryptomining malware, Glupteba and TrickBot. https://t.co/BmWmQ8cbxY pic.twitter.com/90xmbwCNUk
— Virus Bulletin (@virusbtn) March 21, 2022

Microsoft: routery MikroTik narażone na zhakowanie

Hakerzy wykorzystują znaną lukę w komponencie Winbox routerów MikroTik (CVE-2018-14847), umożliwiając atakującym uzyskanie nieuwierzytelnionego, zdalnego dostępu administracyjnego do dowolnego urządzenia, które jest podatne na zhakowanie.

Podatne na ataki routery MikroTik zostały wykorzystane do stworzenia jednej z największych sieci botnet-as-a-service w ostatnich latach. Donoszą o tym różne źródła, w tym także Avast i Microsoft.

TrickBot to złośliwy botnet rozpowszechniany za pośrednictwem wiadomości phishingowych lub usuwany przez inne złośliwe oprogramowanie. Po uruchomieniu TrickBot połączy się ze zdalnym serwerem dowodzenia i kontroli, aby otrzymywać polecenia i pobierać kolejne elementy oprogramowania, które uruchamiane są na zainfekowanej maszynie.

Trojan Trickbot potrafi modyfikować UEFI komputera

TrickBot wykorzystuje urządzenia takie jak routery jako proxy między zainfekowanym urządzeniem a serwerami dowodzenia i kontroli (C2). Te serwery proxy służą do zapobiegania znajdowaniu i zakłócaniu infrastruktury dowodzenia i kontroli przez badaczy i organy ścigania.

routery-mikrotik-microsoft-trickbot-botnet Schemat ataku — *Schemat działania trojana TrickBot (Microsoft)*

Jak wykrywać i bronić się przed atakami TrickBot?

Microsoft opublikował narzędzie wykrywające urządzenia zarażone szkodliwym oprogramowaniem TrickBot w serwisie GitHub. Dzięki temu każdy, kto jest w stanie je wykorzystać, może sprawdzić swoje urządzenia, czy nie zostały zhakowane.

Zaleca się także, aby użytkownicy zaktualizowali swoje routery za pomocą najnowszych poprawek zabezpieczeń, ustawili silne hasło routera i wyłączyli interfejs administracyjny routera ze strony publicznej.

Źródło: Decoded Avast.io, Microsoft

Maciej Lewczuk

Entuzjasta technologii IT, mobile, wearables. Freelancer, od lat w branży mediów IT/Mobile (CD-Action, NeXT, PC Format, CafePC.pl, Benchmark.pl, Mobility, Komputer Świat, Bezprawnik, Startupmag, IoTLab.pl) , były PRowiec (Sweex i Hannspree) i logistyk. Pasjonat jedzenia, gotowania, zdrowego odżywiania, wędrówek, jazdy na rowerze, książek, kina, opery, teatru i wielu innych.