Skip to main content

Router MikroTik sfruttati come botnet-as-a-service

I router vulnerabili di MikroTik sono stati utilizzati in modo improprio per formare quella che i ricercatori di sicurezza informatica hanno definito una delle più grandi operazioni di criminalità informatica botnet-as-a-service viste negli ultimi anni.

Secondo una nuova ricerca pubblicata da Avast, una campagna di mining di criptovalute che sfruttava la nuova botnet Glupteba e il famigerato malware TrickBot sono stati tutti distribuiti utilizzando lo stesso server di comando e controllo (C2).

“Il server C2 funge da botnet-as-a-service che controlla quasi 230.000 router MikroTik vulnerabili”, ha affermato Martin Hron, ricercatore senior di malware di Avast, in un articolo, collegandolo potenzialmente a quella che ora è chiamata botnet Mēris.

È noto che la botnet sfrutta una nota vulnerabilità nel componente Winbox dei router MikroTik ( CVE-2018-14847 ), consentendo agli aggressori di ottenere l’accesso amministrativo remoto non autenticato a qualsiasi dispositivo interessato.

“La vulnerabilità CVE-2018-14847 , che è stata resa nota nel 2018, e per la quale MikroTik ha emesso una correzione, ha consentito ai criminali informatici dietro questa botnet di schiavizzare tutti questi router e presumibilmente di noleggiarli come servizio”, ha affermato Hron .

Nella catena di attacco osservata da Avast nel luglio 2021, i router MikroTik vulnerabili sono stati presi di mira per recuperare il first-stage payload da un dominio denominato bestony[.]club, che è stato quindi utilizzato per recuperare script aggiuntivi da un secondo dominio “globalmoby[.]xyz .”

È stato abbastanza interessante notare che entrambi i domini erano collegati allo stesso indirizzo IP: 116.202.93[.]14, portando così alla scoperta di altri sette domini attivamente utilizzati negli attacchi, uno dei quali (tik.anyget[.]ru) era utilizzato per fornire campioni di malware Glupteba a host mirati.

“Quando sono andato sull’URL https://tik.anyget[.]ru sono stato reindirizzato al dominio https://routers.rip/site/login (che ora è nascosto dal proxy Cloudflare)”, ha affermato Hron. “Questo è un pannello di controllo per l’orchestrazione dei router MikroTik schiavizzati”, con la pagina che mostra un contatore in tempo reale di dispositivi collegati alla botnet.

Ma dopo che i dettagli della botnet Mēris sono diventati di dominio pubblico, all’inizio di settembre 2021, si dice che il server C2 abbia interrotto bruscamente la pubblicazione degli script prima di scomparire completamente.

La divulgazione coincide anche con un nuovo rapporto di Microsoft, che ha rivelato come il malware TrickBot abbia armato i router MikroTik come proxy per le comunicazioni di comando e controllo con i server remoti, sollevando la possibilità che gli operatori possano aver utilizzato la stessa botnet-as- a service.

Alla luce di questi attacchi, si consiglia agli utenti di aggiornare i propri router con le ultime patch di sicurezza, impostare una password al router complessa e disabilitare l’interfaccia di amministrazione del router dal lato pubblico.

“Ciò che è abbastanza ovvio già da tempo, che i dispositivi IoT sono pesantemente presi di mira non solo per eseguire malware su di essi, che è difficile da scrivere e diffondere in modo massiccio considerando tutte le diverse architetture e versioni del sistema operativo, ma semplicemente per utilizzarle le loro capacità per configurarli come proxy”, ha affermato Hron. “Questo viene fatto per rendere anonime le tracce dell’attaccante o per fungere da strumento di amplificazione DDoS”.


    Iscriviti alla newsletter

    Rimani sempre aggiornato sulle ultime news.

    Ai sensi del Regolamento UE n. 2016/679 in materia di Protezione dei Dati Personali. Leggi l'informativa sulla Privacy policy.

    Sei sotto attacco?