Croc

Microsoft выпустила сканер для выявления взломанных Trickbot устройств MikroTik

Microsoft выпустила сканер для выявления взломанных Trickbot устройств MikroTik Microsoft выпустила сканер для выявления взломанных Trickbot устройств MikroTik Microsoft выпустила сканер для выявления взломанных Trickbot устройств MikroTik
18.03.2022

Компания Microsoft выпустила инструмент для сканирования и выявления IoT-устройств MikroTik, взломанных киберпреступной группировкой Trickbot, сообщает SecurityLab.

Сканер с открытым исходным кодом вышел после того, как команда исследователей Microsoft Defender for IoT обнаружила серию хакерских атак на маршрутизаторы MikroTik, в ходе которых злоумышленники настраивали их таким образом, чтобы входящие и исходящие данные с инфицированных Trickbot компьютеров отправлялись на подконтрольные им серверы.

По словам специалистов, хакеры взламывают устройства MikroTik для усиления связи Trickbot с его C&C-серверами. Разными способами (в том числе с помощью подстановки заводских паролей MikroTik и брутфорса) группировка сначала получает учетные данные для шлюзов. Или же она эксплуатирует уязвимость CVE-2018-14847 в устройствах под управлением RouterOS до версии 6.42. Это позволяет злоумышленникам читать произвольные файлы, такие как user.dat, содержащие пароли.

Затем с целью сохранения постоянного доступа к маршрутизатору хакеры меняют пароль и используют взломанное устройство для отправки команд зараженным Trickbot системам в сети, чтобы запускать вымогательское ПО, генерировать криптовалюту, похищать или удалять данные и пр.

Исследователи зафиксировали отправляемые хакерами зараженным устройствам специальные для MikroTik команды RouterOS для настройки переадресации C&C-трафика, а затем отследили их до источника.

«Устройства MikroTik имеют уникальную ОС на базе ядра Linux под названием RouterOS с уникальной SSH-оболочкой, доступ к которой можно получить по протоколу SSH с помощью зарегистрированного набора команд с префиксом /», - пояснили исследователи.

Предложенный Microsoft сканер подключается к устройствам MikroTik и, помимо прочего, ищет правила конфигурации для переадресации трафика и изменения портов, которые могут свидетельствовать о заражении Trickbot.


Комментарии 0


Назад