Anfällige Router von MikroTik wurden missbraucht, um eines der größten Botnet-as-a-Service-Cybercrime-Operationen der letzten Jahre zu bilden, wie Cyber-Sicherheitsforscher sagen.
Laut einer neuen Studie von Avast wurden eine Kryptowährungskampagne, die das neu gestörte Glupteba-Botnetz nutzt, sowie die berüchtigte TrickBot-Malware über denselben Command-and-Control-Server (C2) verbreitet.
„Der C2-Server dient als Botnet-as-a-Service, der fast 230.000 anfällige MikroTik-Router kontrolliert“, so Martin Hron, leitender Malware-Forscher bei Avast, in einem Bericht, der möglicherweise einen Zusammenhang mit dem sogenannten Mēris-Botnet herstellt.
Das Botnet nutzt eine bekannte Schwachstelle in der Winbox-Komponente von MikroTik-Routern aus (CVE-2018-14847), die es den Angreifern ermöglicht, unautorisierten administrativen Fernzugriff auf die betroffenen Geräte zu erhalten. Teile des Mēris-Botnetzes wurden Ende September 2021 enttarnt.
„Die Sicherheitslücke CVE-2018-14847, die 2018 veröffentlicht wurde und für die MikroTik einen Fix herausgegeben hat, ermöglichte es den Cyberkriminellen hinter diesem Botnetz, all diese Router zu versklaven und sie vermutlich als Dienstleistung zu vermieten“, so Hron.
In der von Avast im Juli 2021 beobachteten Angriffskette wurden anfällige MikroTik-Router angegriffen, um die erste Stufe der Nutzlast von einer Domain namens bestony[.]club abzurufen, die dann verwendet wurde, um zusätzliche Skripte von einer zweiten Domain „globalmoby[.]xyz“ abzurufen.
Interessanterweise waren beide Domains mit der gleichen IP-Adresse verknüpft: 116.202.93[.]14, was zur Entdeckung von sieben weiteren Domains führte, die aktiv für Angriffe genutzt wurden, von denen eine (tik.anyget[.]ru) dazu verwendet wurde, Glupteba-Malware-Samples an die Zielrechner zu senden.
„Als ich die URL https://tik.anyget[object 4]ru aufrief, wurde ich auf die Domain https://routers.rip/site/login umgeleitet (die wiederum vom Cloudflare-Proxy versteckt wird)“, sagte Hron. „Dabei handelt es sich um ein Kontrollpanel für die Orchestrierung von versklavten MikroTik-Routern“, wobei die Seite einen Live-Zähler der mit dem Botnetz verbundenen Geräte anzeigt.
Nachdem Anfang September 2021 Einzelheiten über das Mēris-Botnetz an die Öffentlichkeit gelangten, soll der C2-Server die Bereitstellung von Skripten abrupt eingestellt haben, bevor er ganz verschwand.
Die Enthüllung fällt auch mit einem neuen Bericht von Microsoft zusammen, der aufdeckte, wie die TrickBot-Malware MikroTik-Router als Proxys für die Command-and-Control-Kommunikation mit den Remote-Servern eingesetzt hat, was die Möglichkeit aufwirft, dass die Betreiber dasselbe Botnet-as-a-Service genutzt haben könnten.
Angesichts dieser Angriffe wird empfohlen, die Router mit den neuesten Sicherheits-Patches zu aktualisieren, ein sicheres Router-Passwort einzurichten und die Administrationsschnittstelle des Routers für die Öffentlichkeit zu deaktivieren.
„Das zeigt auch, was schon seit einiger Zeit offensichtlich ist: IoT-Geräte werden nicht nur gezielt angegriffen, um Malware auf ihnen auszuführen – was angesichts der unterschiedlichen Architekturen und Betriebssystemversionen schwer zu schreiben und massiv zu verbreiten ist -, sondern auch, um ihre legalen und eingebauten Fähigkeiten zu nutzen und sie als Proxys einzurichten“, so Hron. „Dies geschieht entweder, um die Spuren des Angreifers zu anonymisieren oder um als DDoS-Verstärkungstool zu dienen.