Pendant des années, des pirates malveillants ont piraté de grandes flottes de routeurs MikroTik et les ont recrutés dans Trickbot, l’un des botnets les plus destructeurs d’Internet. Maintenant, Microsoft a enfin découvert pourquoi et comment les routeurs sont utilisés.
Trickbot a été découvert en 2016 en tant que cheval de Troie pour voler les mots de passe des comptes pour fraude bancaire. Depuis lors, Trickbot est devenu l’une des plates-formes de menaces les plus agressives sur le Web grâce à son cadre de logiciels malveillants hautement modulaire et à plusieurs niveaux qui fournit une suite complète d’outils utilisés pour installer des ransomwares et d’autres formes de logiciels malveillants provenant d’autres groupes de pirates.
Le Trickbot, qui génère des logiciels malveillants, se caractérise par ses capacités avancées. Il se caractérise par l’obtention de privilèges administratifs puissants, se propageant rapidement d’un ordinateur à l’autre sur les réseaux et effectuant une reconnaissance qui identifie les ordinateurs infectés appartenant à des cibles de grande valeur. Le malware utilise souvent des logiciels facilement disponibles comme Mimikatz ou des exploits comme EternalBlue volés à la National Security Agency.
Masquer C2
Les opérateurs de Trickbot, a déclaré Microsoft mercredi, compromettent les appareils MikroTik et utilisent ces appareils pour masquer l’emplacement des serveurs de commande et de contrôle qui échangent des données et des commandes avec des ordinateurs infectés. Au lieu que les ordinateurs infectés se connectent directement aux serveurs de contrôle, les ordinateurs se connectent aux routeurs compromis, qui agissent comme intermédiaires.
Lorsque les analystes de la sécurité surveillent les connexions des ordinateurs infectés, les chercheurs voient les adresses IP associées aux routeurs compromis dans les maisons et les entreprises. L’emplacement des serveurs de contrôle eux-mêmes reste caché et ne peut être déterminé sans accès au routeur proxy. Voici un aperçu :
« Le but de Trickbot avec les appareils MikroTik est d’établir une ligne de communication entre l’appareil affecté par Trickbot et le serveur C2 que les systèmes de défense de réseau standard ne peuvent pas détecter », ont écrit les chercheurs de Microsoft. « Les attaquants commencent par pirater un routeur MikroTik. »
Selon Microsoft, l’une des principales raisons pour lesquelles Trickbot a une telle affinité avec MikroTik est le RouterOS unique basé sur Linux de MikroTik. Ce système d’exploitation permet aux utilisateurs de transférer à distance des commandes à l’aide du protocole SSH ou Secure Shell. La flexibilité et la puissance des commandes font des routeurs MikroTik des proxys idéaux. Les opérateurs Trickbot peuvent envoyer une seule commande qui amène un grand nombre d’appareils à diriger le trafic d’une manière spécifique qui est bénéfique pour l’architecture du botnet.
Les commandes précédées d’un « / » incluent des éléments tels que /ip, /system et /tool. Ils ne fonctionnent généralement pas sur les fenêtres shell Linux classiques. En revanche, les coques MikroTik offrent aux opérateurs Trickbot un menu d’options utiles. Par exemple, une commande que Microsoft a observée en envoyant Trickbot était :
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses= dst-address=
Cette commande crée une nouvelle règle, similaire à iptables, qui écoute sur le port 449 à partir d’ordinateurs compromis. La commande redirige ensuite les données sur le port 80 pour contrôler les serveurs TrickBot.
« La commande mentionnée est une commande NAT (Network Address Translation) légitime qui permet au routeur NAT de réécrire les adresses IP », ont déclaré les chercheurs de Microsoft. « Dans ce cas, il est utilisé pour des activités malveillantes. Trickbot est connu pour utiliser les ports 443 et 449 et nous avons pu vérifier que certains serveurs cibles ont été identifiés comme des serveurs TrickBot C2 dans le passé.
Comment devenir obsédé, comment rester propre
Trickbot utilise plusieurs méthodes pour compromettre les routeurs. Ces méthodes comprennent :
- Exploitation d’appareils utilisant toujours des mots de passe MikroTik standard
- Effectuer des attaques par devinette de mot de passe, éventuellement en utilisant des mots de passe collectés à partir d’autres appareils MikroTik
- Exploitation de CVE-2018-14847 sur les appareils exécutant des versions de RouterOS antérieures à 6.42. Cette vulnérabilité critique donne à l’attaquant la possibilité de lire des fichiers arbitraires comme user.dat qui contiennent des mots de passe. Les recherches de l’année dernière ont révélé que CVE-2018-14847 était l’une des trois vulnérabilités graves trouvées dans 300 000 routeurs MikroTik.
Une fois que les opérateurs prennent le contrôle d’un appareil, ils modifient le mot de passe pour empêcher quiconque d’en reprendre le contrôle à distance.