MikroTik’in savunmasız yönlendiricileri, siber güvenlik araştırmacılarının son yıllarda görülen en büyük hizmet olarak botnet siber suç operasyonlarından birini oluşturmak için kötüye kullanıldı.
Avast tarafından yayınlanan yeni bir araştırmaya göre, yeni kesintiye uğrayan Glupteba botnet’i ve kötü şöhretli TrickBot kötü amaçlı yazılımını kullanan bir kripto para madenciliği kampanyası, hepsi aynı komut ve kontrol (C2) sunucusu kullanılarak dağıtıldı.
Avast’ın kıdemli kötü amaçlı yazılım araştırmacısı Martin Hron, “C2 sunucusu, yaklaşık 230.000 savunmasız MikroTik yönlendiriciyi kontrol eden bir hizmet olarak botnet olarak hizmet ediyor,” dedi. dedim bir yazıda, potansiyel olarak onu şimdi Mēris botnet olarak adlandırılan şeye bağlar.
Botnet’in MikroTik yönlendiricilerin Winbox bileşenindeki (CVE-2018-14847) bilinen bir güvenlik açığından yararlandığı ve saldırganların etkilenen herhangi bir cihaza kimliği doğrulanmamış, uzaktan yönetim erişimi elde etmesine olanak sağladığı bilinmektedir. Mēris botnet’in bölümleri şunlardı: düden geç zamanda Eylül 2021.
Hron, “2018’de duyurulan ve MikroTik’in bir düzeltme yayınladığı CVE-2018-14847 güvenlik açığı, bu botnet’in arkasındaki siber suçluların tüm bu yönlendiricileri köleleştirmesine ve muhtemelen bir hizmet olarak kiralamasına izin verdi.” Dedi. .
Avast tarafından Temmuz 2021’de gözlemlenen saldırı zincirinde, savunmasız MikroTik yönlendiricilerin, bestony adlı bir alan adından birinci aşama yükünü alması hedeflendi.[.]club, daha sonra ikinci bir alan adı olan “globalmoby’den ek komut dosyaları almak için kullanıldı.[.]xyz.”
Yeterince ilginç, her iki alan da aynı IP adresine bağlıydı: 116.202.93[.]14, saldırılarda aktif olarak kullanılan yedi alanın daha keşfedilmesine yol açtı, bunlardan biri (tik.anyget[.]ru), Glupteba kötü amaçlı yazılım örneklerini hedeflenen ana bilgisayarlara sunmak için kullanıldı.
“https://tik.anyget URL’sini isterken[.]ru https://routers.rip/site/login etki alanına yönlendirildim (yine Cloudflare proxy tarafından gizlenir),” dedi Hron. “Bu, köleleştirilmiş MikroTik yönlendiricilerin düzenlenmesi için bir kontrol panelidir” botnet’e bağlı cihazların canlı sayacını gösteren sayfa.
Ancak Mēris botnet’in ayrıntıları Eylül 2021’in başlarında kamu alanına girdikten sonra, C2 sunucusunun tamamen kaybolmadan önce komut dosyalarını sunmayı aniden durdurduğu söyleniyor.
Açıklama aynı zamanda Microsoft’tan gelen ve TrickBot kötü amaçlı yazılımının uzak sunucularla komuta ve kontrol iletişimi için vekiller olarak MikroTik yönlendiricileri nasıl silahlandırdığını ortaya çıkaran ve operatörlerin aynı botnet’i kullanmış olabileceği olasılığını artıran yeni bir raporla örtüşüyor. servis.
Bu saldırıların ışığında, kullanıcıların yönlendiricilerini en son güvenlik yamalarıyla güncellemeleri, güçlü bir yönlendirici parolası oluşturmaları ve yönlendiricinin yönetim arabirimini halka açık taraftan devre dışı bırakmaları önerilir.
“Ayrıca, bir süredir oldukça açık olan şey, IoT cihazlarının yalnızca üzerlerinde kötü amaçlı yazılım çalıştırmayı değil, tüm farklı mimariler ve işletim sistemi sürümleri göz önüne alındığında toplu olarak yazması ve yayması zor olan kötü amaçlı yazılımları çalıştırmayı hedeflediğini gösteriyor. onları vekil olarak kurmak için yasal ve yerleşik yetenekleri, “dedi Hron. “Bu, saldırganın izlerini anonimleştirmek veya bir DDoS yükseltme aracı olarak hizmet etmek için yapılır.”
Güncelleme: Letonyalı MikroTik şirketi The Hacker News’e verdiği demeçte, sayının “yalnızca biz yamayı piyasaya sürmeden önce doğruydu. [the] 2018 yılı. Yama yayınlandıktan sonra, etkilenen gerçek cihaz sayısı, hala eski yazılımı çalıştıran 20.000 birime yakındır. Ayrıca, hepsi botnet tarafından kontrol edilmiyor, birçoğunun eski yazılımları çalıştırmasına rağmen katı bir güvenlik duvarı var.”
Yorum için Avast’a ulaşıldığında, siber güvenlik şirketi, etkilenen cihaz sayısının (~230.000) botnet’in kesintiden önceki durumunu yansıttığını doğruladı. Şirket yaptığı açıklamada, “Ancak, kimlik bilgileri tehlikeye atılmış veya internette yama uygulanmamış halde kalan izole yönlendiriciler hala var” dedi.
(Yazının başlığı, daha önce belirtildiği gibi etkilenen MikroTik yönlendirici sayısının artık 200.000’den fazla olmadığı gerçeği dikkate alınarak düzeltilmiştir.)