
TrickBot เป็นมัลแวร์ที่มีมาตั้งแต่ปี 2559 โดยในขั้นต้นเป็นโทรจันธนาคารที่ออกแบบมาเพื่อโจรกรรมข้อมูลทางการเงิน แต่ได้พัฒนาเป็นโปรแกรมโจรกรรมแบบแยกส่วนที่สามารถกำหนดเป้าหมายข้อมูลได้หลากหลายขึ้น โดย TrickBot จะใช้อุปกรณ์ IoT เช่น เราเตอร์ เพื่อทำหน้าที่เป็น Proxy ระหว่างอุปกรณ์ที่มีการติดต่อไปยังเซิร์ฟเวอร์ (Command and Control Server) ซึ่งอาจจะทำให้เกิดช่องโหว่ที่แฮกเกอร์สามารถเข้าถึงเครื่องเป้าหมายเหล่านั้นได้
จากข้อมูลจำนวนอุปกรณ์เราเตอร์ MikroTik นับว่าเป็นอุปกรณ์ที่ได้รับความนิยมมากกว่า 3.3 ล้านเครื่องทั่วโลก โดยจากการค้นหาข้อมูลผ่านช่องทาง Shodan.io เว็บเว็บเสิร์ชเอนจินที่สามารถทำการค้นหาชื่ออุปกรณ์ทุกชนิดที่กำลังเชื่อมต่ออินเตอร์เน็ตได้ทั่วโลก
Microsoft กล่าวว่านักวิจัยได้พิจารณาแล้วว่าเราเตอร์ของ MikroTik ถูกละเมิดคุกคามอย่างไร และยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Microsoft ได้สร้างเครื่องมือที่สามารถใช้ตรวจสอบอุปกรณ์เหล่านี้เพื่อหาสัญญาณความเคลื่อนไหวที่ผิดปกติที่เกี่ยวข้องกับ Trickbot โดยทีมวิจัย Defender for Internet of Things ของ Microsoft และ Threat Intelligence Center ได้ร่วมกันเปิดตัวเครื่องมือโอเพนซอร์ส โดยตั้งชื่อว่า RouterOS Scanner และได้รับการอธิบายสรรพคุณว่าเป็นเครื่องมือทางนิติเวชสำหรับอุปกรณ์ MikroTik ซึ่งเจ้าเครื่องมือนี้สามารถค้นหาจุดอ่อน และคุณสมบัติที่น่าสงสัยที่อาจบ่งชี้ว่าอุปกรณ์กำลังถูกบุกรุก หรือถูกบุกรุกไปเรียบร้อยแล้ว
ถึงแม้ว่าความพยายามเพื่อไม่ให้สามารถบุกรุกเข้าถึงเราเตอร์ได้ก็ตาม แต่ผู้คุกคามจะพยายามใช้ประโยชน์จากช่องโหว่ของ CVE-2018-14847 โดยการรีโมทโจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์ เพื่อโจรกรรมไฟล์ “user.dat” ซึ่งประกอบด้วยข้อมูลประจำตัวผู้ใช้งานสำหรับเราเตอร์ และภารกิจที่มิจฉาชีพทางไซเบอร์จะลงมือทำเมื่อเข้าถึงอุปกรณ์ได้แล้ว จะใช้คำสั่ง “/ip”, “/system” หรือ “/tool” สำหรับสร้างการแปลที่อยู่ของเครือข่าย (NAT) เพื่อทำการเปลี่ยนแปลงเส้นทางการรับส่งข้อมูลที่มีการส่งไปยังพอร์ต 449 บนเราเตอร์ ให้ทำการส่งมายังพอร์ต 80 บนเซิร์ฟเวอร์แทน และจะทำการควบคุมได้จากระยะไกล
ซึ่งก่อนหน้านี้ ทาง MikroTik เอง ก็ได้รับแจ้งให้เร่งทำการอัปเกรด RouterOS เวอร์ชันที่ใหม่กว่า 6.45.6 เพื่อปิดช่องโหว่ของโปรโตคอล WinBox และสำหรับเวอร์ชันใหม่ล่าสุดนี้ จะมีสคริปต์สำหรับสแกนอุปกรณ์ MikroTik ดังต่อไปนี้
- รองรับการจับคู่กับ CVEs
- รองรับการสแกนตารางการตรวจสอบกิจกรรมต่างๆ
- รองรับการสแกนกฎการเปลี่ยนเส้นทางการรับส่งข้อมูล
- รองรับการสแกน DNS
- รองรับการสแกนการเปลี่ยนแปลงของ default ports
- รองรับการสแกนผู้ใช้งานที่ไม่ใช่ค่า default
- รองรับการสแกนไฟล์ที่น่าสงสัย
- รองรับการสแกน Proxy, Socks และ FW
นอกจากนี้ Microsoft ยังแนะนำวิธีการตั้งค่าเพิ่มเติมบนอุปกรณ์ MikroTik
- ให้ทำการเปลี่ยนรหัสผ่าน default ให้มีความยากในการคาดเดา
- ให้ทำการบล็อกพอร์ต 8291 สำหรับจากการเข้าถึงจากภายนอก
- ให้ทำการเปลี่ยนพอร์ต SSH เป็นอย่างอื่นที่ไม่ใช่ค่า default (22)
- ให้ทำการตรวจสอบให้แน่ใจว่าเราเตอร์อัปเดตเฟิร์มแวร์และแพตช์ล่าสุดแล้ว
- ให้ทำการใช้บริการเครือข่ายส่วนตัวเสมือน (VPN) ที่ปลอดภัยสำหรับการเข้าถึงจากระยะไกล และจำกัดการเข้าถึงเราเตอร์ได้จากระยะไกล
ที่มา : Microsoft releases open source Trickbot scanner for Mikrotik routers – Networking – Security – iTnews และ Microsoft creates tool to scan MikroTik routers for TrickBot infections (bleepingcomputer.com)