Корпорация Microsoft сообщила о выпуске инструмента для выявления сетевых устройств MikroTik, взломанных операторами ботнета TrickBot. Стоящие за этой бот-сетью киберпреступники на протяжении нескольких лет взламывали и перенастраивали IoT-устройства, используя их как прокси для связи инфицированных компьютеров со своими командными серверами. Это не позволяло специалистам по кибербезопасности и правоохранительным органам изучить инфраструктуру ботнета и принять меры по его ликвидации.

Значительная часть взломанных устройств приходится на маршрутизаторы латвийского производителя MikroTik. Для взлома использовались brute-force атаки, подстановки предустановленных паролей производителя, а также эксплуатация уязвимости CVE-2018-14847 операционной системы устройств MikroTik. Исправление для нее было выпущено производителем еще несколько лет назад, но ПО многих маршрутизаторов так и не было обновлено. Согласно отчету компании Eclypsium, в декабре прошлого года в мире все еще насчитывались сотни тысяч уязвимых устройств от MikroTik.

Выпуск сканера с открытым исходным кодом позволит точно определить, был ли конкретный маршрутизатор от MikroTik взломан операторами TrickBot. Стоит понимать, что в феврале нынешнего года активность TrickBot была полностью прекращена. Однако отсюда не следует, что опасность миновала. В прошлом бот-сеть уже прекращала свою деятельность, а затем возобновляла ее, и поэтому выявление уязвимых устройств остается чрезвычайно важной задачей.