Los routers vulnerables de MikroTik han sido utilizados para formar lo que los investigadores de ciberseguridad han llamado una de las mayores operaciones de cibercrimen de botnet-as-a-service vistas en los últimos años.
Según una nueva investigación publicada por Avast, una campaña de minería de criptomonedas que aprovecha la nueva red de bots Glupteba, así como el infame malware TrickBot, se distribuyeron utilizando el mismo servidor de comando y control (C2).
«El servidor C2 funciona como una red de bots como servicio que controla cerca de 230.000 routers MikroTik vulnerables», dijo el investigador principal de malware de Avast, Martin Hron, en un escrito, vinculándolo potencialmente a lo que ahora se llama la red de bots Mēris.
Se sabe que la botnet explota una vulnerabilidad conocida en el componente Winbox de los routers MikroTik (CVE-2018-14847), lo que permite a los atacantes obtener acceso administrativo remoto y sin autenticación a cualquier dispositivo afectado. Partes de la botnet Mēris fueron sinkholed a finales de septiembre de 2021.
«La vulnerabilidad CVE-2018-14847, que se hizo pública en 2018, y para la que MikroTik emitió una corrección, permitió a los ciberdelincuentes detrás de esta botnet esclavizar todos estos routers, y presumiblemente alquilarlos como un servicio», dijo Hron.
En la cadena de ataque observada por Avast en julio de 2021, los routers MikroTik vulnerables fueron atacados para recuperar la carga útil de la primera etapa de un dominio llamado bestony[.]club, que luego se utilizó para obtener scripts adicionales de un segundo dominio «globalmoby[.]xyz».
Lo interesante es que ambos dominios estaban vinculados a la misma dirección IP: 116.202.93[.]14, lo que llevó a descubrir otros siete dominios que se utilizaban activamente en los ataques, uno de los cuales (tik.anyget[.]ru) se utilizaba para servir muestras de malware Glupteba a los hosts objetivo.
«Al solicitar la URL https://tik.anyget[.]ru fui redirigido al dominio https://routers.rip/site/login (que de nuevo está oculto por el proxy de Cloudflare)», dijo Hron. «Se trata de un panel de control para la orquestación de routers MikroTik esclavizados», con la página mostrando un contador en vivo de los dispositivos conectados a la botnet.
Pero después de que los detalles de la botnet Mēris fueran de dominio público a principios de septiembre de 2021, se dice que el servidor C2 dejó de servir scripts abruptamente antes de desaparecer por completo.
La revelación también coincide con un nuevo informe de Microsoft, que ha revelado cómo el malware TrickBot ha utilizado los routers MikroTik como proxies para las comunicaciones de mando y control con los servidores remotos, lo que plantea la posibilidad de que los operadores hayan utilizado la misma botnet-as-a-service.
A la luz de estos ataques, se recomienda que los usuarios actualicen sus routers con los últimos parches de seguridad, establezcan una contraseña fuerte para el router y desactiven la interfaz de administración del router desde el lado público.
«También muestra, lo que es bastante obvio desde hace tiempo, que los dispositivos IoT están siendo fuertemente atacados no solo para ejecutar malware en ellos, que es difícil de escribir y se propaga masivamente teniendo en cuenta todas las diferentes arquitecturas y versiones de SO, sino simplemente para utilizar sus capacidades legales e integradas para configurarlos como proxies», dijo Hron. «Esto se hace para anonimizar los rastros del atacante o para servir como herramienta de amplificación de DDoS».
Actualización: La empresa letona MikroTik dijo que el número «solo era cierto antes de que lanzáramos el parche en [el] año 2018. Después de lanzar el parche, el número real de dispositivos afectados está más cerca de 20.000 unidades que todavía ejecutan el software antiguo. Además, no todos ellos están realmente controlados por la red de bots, muchos de ellos tienen un estricto cortafuegos, aunque ejecuten software antiguo.»
Cuando se contactó con Avast para obtener comentarios, la compañía de ciberseguridad confirmó que el número de dispositivos afectados (~230.000) reflejaba el estado de la botnet antes de su interrupción. «Sin embargo, todavía hay routers aislados con credenciales comprometidas o que permanecen sin parchear en Internet», dijo la compañía en un comunicado.