TRICKBOT

Microsoft-verktøy: Rutere fra denne produsenten kan nå skannes for en av verdens farligste skadevarer

MikroTik-rutere infisert av Trickbot-skadevaren.

MikroTik-rutere er blitt et utbredt mål for Trickbot-skadevaren, melder Microsoft.
MikroTik-rutere er blitt et utbredt mål for Trickbot-skadevaren, melder Microsoft. Foto: MikroTik
21. mars 2022 - 10:00

Trickbot er navnet på en svært utbredt skadevare som knytter sammen et stort antall infiserte systemer i et «botnett» som brukes til å utføre cyberangrep i hele verden. Programvaren har i økende grad inntatt IoT-enheter, som rutere, men nå finnes det et mottiltak.

På sikkerhetsbloggen sin opplyser Microsoft at de har lansert et nytt verktøy som lar brukere skanne ruteren for den farlige Trickbot-skadevaren. Verktøyet er lastet opp på nettstedet Github. Blant andre The Register har skrevet om saken.

MikroTik-rutere

Det nye verktøyet er vel å merke primært designet for rutere fra den latviske produsenten MikroTik, som selges og brukes i store deler av verden – inkludert Norge.

Årsaken til at verktøyet er laget spesifikt for MikroTik-rutere, er at disse har blitt attraktive mål for botnett-aktører, deriblant Trickbot, blant annet på grunn av alvorlige sikkerhetshull som mange ennå ikke har installert fikser til.

Som Bleeping Computer rapporterte i desember, er flere hundre tusen MikroTik-rutere fremdeles sårbare. Nettstedet refererer til en rapport fra sikkerhetsselskapet Eclypsium, som peker på at ruterne er et yndet mål også av andre grunner.

– MikroTik-enheter har et forlokkende sett av egenskaper fra en angripers perspektiv. Først og fremst er de tallrike med over to millioner enheter i bruk globalt, og de er også spesielt kraftige og funksjonsrike. I tillegg til til SOHO-miljøer (small office/home office, journ-anm.) brukes MikroTik-rutere regelmessig av lokale internettleverandører. De samme hestekreftene som gjør MikroTik attraktive for en internettleverandør, er også attraktive for en angriper, skriver Eclypsium.

Brukes som proxy-servere

I september i fjor responderte MikroTik selv på rapporter om at selskapets rutere var blitt brukt i botnett-angrep, blant annet DDoS-angrep, men hevdet at sårbarhetene som var blitt brukt til å infisere ruterne, ble fikset i 2018. Mange skal imidlertid ikke har tatt fiksene i bruk.

Ifølge Microsoft benytter bakmennene bak Trickbot-skadevaren nå MikroTik-rutere som proxy-servere for C2-servere (command and control) og omdirigerer trafikk gjennom ikke-standardporter.

Selskapet sier de har oppdaget den eksakte måten Trickbots C2-infrastruktur bruker MikroTik-ruterne på, og det er altså denne innsikten som har satt Microsoft i stand til å utvikle skanneverktøyet de nå har gjort offentlig tilgjengelig.

– Trickbots hensikt med å bruke MikroTik-enheter er å opprette en kommunikasjonslinje mellom den Trickbot-infiserte enheten og C2-serveren som de vanlige forsvarssystemene i nettverket ikke fanger opp. Angriperne starter med å hacke seg inn på MikroTik-ruteren, forklarer Microsoft.

Microsoft beskriver Trickbot som en sofistikert trojaner som har utviklet seg betydelig siden den først ble oppdaget i 2016. Digi.no har også omtalt skadevaren flere ganger, blant annet i forbindelse med at botnettet ble brukt til å gjenopplive en annen farlig skadevare, nemlig Emotet.

Truslene på nett kan tilta enda mer i tiden fremover, takket være Emotets retur.
Les også

To av verdens farligste skadevareprogrammer har «slått seg sammen»

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra