Microsoft publie un scanner Trickbot pour les appareils MikroTik

Depuis peu, les auteurs du malware Trickbot utiliseraient des appareils MikroTik tels que des routeurs pour développer leur réseau de commande et de contrôle afin d’exploiter leurs campagnes de chevaux de Troie.

Les chercheurs en sécurité de Microsoft l’expliquent dans un article et présentent des conseils pour sécuriser ces appareils IoT ainsi qu’un scanner gratuit permettant aux administrateurs de repérer les appareils compromis. L’ampleur de cette campagne n’est pas connue pour l’instant.

RouterOS Scanner est un outil d’investigation qui détecte les activités suspectes typiques de Trickbot, comme les redirections de trafic et les redirections de port. Vous trouverez plus d’informations sur les fonctionnalités et l’utilisation sur la page Github du projet.

Lire aussi

Selon les chercheurs en sécurité, les pirates recherchent sur Internet des appareils MikroTik accessibles au public et tentent ensuite de s’y connecter. Pour cela, ils essaient d’utiliser les données de connexion standard du fabricant ou d’énormes listes de collections de mots de passe divulguées. Alternativement, l’exploitation d’une faille de sécurité (CVE-2018-14847) datant de 2018 devrait permettre aux attaquants d’accéder aux appareils. Les appareils à partir de RouterOS 6.42 devraient être équipés contre cela.

Si l’accès est possible, les pirates installent leur code malveillant et s’installent sur l’appareil. Ils l’utilisent comme serveur proxy pour la communication avec leurs serveurs de commande et de contrôle. Avec cette méthode, ils veulent opérer sous le radar des solutions de sécurité standard du réseau. Si cette infrastructure fonctionne, ils peuvent par exemple charger d’autres modules de chevaux de Troie pour s’infiltrer davantage dans les réseaux d’entreprise.

Pour éviter d’en arriver là, les administrateurs devraient notamment utiliser des mots de passe forts et changer le port SSH standard 22. Il faut également s’assurer que les appareils fonctionnent toujours avec le dernier firmware et sont donc équipés des dernières mises à jour de sécurité.

Le malware Trickbot est en circulation depuis 2016 et les personnes à l’origine de sa création ont notamment collaboré avec les hommes de l’ombre d’Emotet.