Jak działa botnet MikroTik?
Cyberprzestępcy wykorzystują błędy w konfiguracji rekordów DNS, szczególnie w strukturze zasad nadawcy (SPF). Rekordy te powinny wskazywać, które serwery są uprawnione do wysyłania wiadomości w imieniu danej domeny. Wykryto, że około 20 000 domen używa zbyt liberalnej opcji "+all," co pozwala dowolnemu serwerowi na wysyłanie wiadomości. Ten błąd otwiera drogę do ataków typu spoofing i masowego wysyłania złośliwego spamu.
Firma Infoblox, zajmująca się bezpieczeństwem DNS, poinformowała, że kampania phishingowa rozpoczęła się pod koniec listopada 2024 roku. Wiadomości e-mail podszywały się pod znane firmy, takie jak DHL Express, przesyłając fałszywe faktury z archiwami ZIP. Wewnątrz archiwum znajdował się plik JavaScript, który uruchamiał skrypt PowerShell, umożliwiający nawiązanie połączenia z serwerem dowodzenia i kontroli (C2).
Skala zagrożenia i techniki cyberprzestępców
Nagłówki wiadomości spamowych ujawniły istnienie botnetu składającego się z około 13 000 urządzeń MikroTik. Routery te zostały zhakowane i skonfigurowane jako serwery proxy SOCKS4, co umożliwia przeprowadzanie ataków DDoS, wysyłanie wiadomości phishingowych oraz ukrywanie źródła złośliwego ruchu.
Metoda kompromisu urządzeń MikroTik pozostaje niejasna, ale atakujący wykorzystują różne wersje oprogramowania układowego, w tym najnowsze. To sugeruje, że problem może wynikać zarówno z podatności systemowych, jak i zaniedbań użytkowników w aktualizacji swoich urządzeń.
Latem 2023 roku botnet MikroTik został już wykorzystany do jednego z największych ataków typu denial-of-service, który osiągnął 840 milionów pakietów na sekundę. Pomimo apeli do użytkowników o aktualizowanie urządzeń, wiele z nich pozostaje podatnych na ataki przez długi czas.
Jak zabezpieczyć urządzenia MikroTik?
Eksperci zalecają właścicielom routerów MikroTik kilka kluczowych kroków w celu ochrony:
Aktualizacja oprogramowania układowego: regularne instalowanie najnowszych wersji firmware jest kluczowe dla eliminacji znanych luk bezpieczeństwa.
Zmiana domyślnych danych uwierzytelniających: hasła administratora powinny być silne i unikalne.
Ograniczenie zdalnego dostępu: jeśli nie jest to konieczne, należy wyłączyć dostęp do panelu sterowania routera z zewnątrz.
Poprawna konfiguracja rekordów DNS SPF: domeny powinny używać opcji "-all," aby ograniczyć wysyłanie wiadomości wyłącznie do autoryzowanych serwerów.
Wnioski i przyszłość bezpieczeństwa DNS
Botnet MikroTik jest kolejnym przykładem na to, jak cyberprzestępcy wykorzystują zaniedbania w konfiguracji urządzeń i systemów. Skala zagrożenia jest ogromna, ponieważ błędnie skonfigurowane rekordy SPF umożliwiają podszywanie się pod tysiące domen i rozsyłanie złośliwego oprogramowania.
Rozwój tego typu ataków pokazuje, jak ważne jest dbanie o bezpieczeństwo na poziomie urządzeń sieciowych i konfiguracji DNS. Użytkownicy oraz administratorzy systemów powinni regularnie monitorować swoje sieci i stosować sprawdzone praktyki bezpieczeństwa, aby minimalizować ryzyko.
Infoblox podkreśla, że kampania jest nadal aktywna, a atakujący mogą modyfikować swoje metody. W związku z tym edukacja w zakresie cyberbezpieczeństwa oraz świadomość użytkowników stają się kluczowymi elementami w walce z cyberprzestępczością.
