I router di MikroTik sono stati scelti per creare una rete di server proxy che permette distribuire il malware TrickBot, evitando la rilevazione da parte dei sistemi di sicurezza. I dispositivi dell’azienda lettone possono quindi far parte della botnet, all’insaputa dei proprietari. Microsoft ha rilasciato un tool open source che consente di effettuare un’analisi forense per scoprire eventuali vulnerabilità.
Perché TrickBot sceglie i router MikroTik?
TrickBot è un trojan che viene distribuito mediante email di phishing o altri malware che hanno già infettato il dispositivo. Gli sviluppatori di TrickBot hanno interrotto le attività ed oggi collaborano con i cybercriminali che effettuato attacchi con il ransomware Conti. Le versioni più recenti sfruttano i router di MikroTik come proxy per i server C2 (command and control).
I router di MikroTik sono utilizzati per creare una canale di comunicazione tra i computer infetti e il server remoto, in modo da evitare la rilevazione da parte dei sistemi di difesa delle reti aziendali. I cybercriminali scoprono innanzitutto la password di login tramite attacchi di forza bruta o sfruttando la vulnerabilità CVE-2018-14847 presente nelle vecchie versioni (prima della 6.42) del sistema operativo RouterOS che, per qualche motivo, non è stato aggiornato.
Utilizzando la shell SSH viene quindi creata una regola NAT che reindirizza il traffico inviato alla porta 449 del router alla porta 80 del server C2 di TrickBot. Il comando è simile a questo:
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[infected device] dst-address=[real C2 address]
I router MikroTik sono scelti dai cybercriminali perché hanno un hardware avanzato in grado di gestire compiti piuttosto gravosi, come gli attacchi DDoS.
Microsoft ha rilasciato un tool su GitHub che permette di effettuare la scansione del router per verificare la presenza di punti deboli. L’azienda di Redmond consiglia inoltre di bloccare gli accessi esterni alla porta 8291, scegliere una password robusta, cambiare la porta SSH predefinita, installare l’ultima versione del firmware e usare una VPN.