Son compte-rendu révèle qu’un même serveur C2 est à l’origine de plusieurs événements : la campagne de cryptomining (ou minage de crypto-monnaies) utilisant un malware signalée par Avast en 2018, le programme malveillant Glupteba, des attaques majeures avec refus de service distribué (DDoS) ciblant plusieurs entreprises en Russie, dont Yandex, mais aussi en Nouvelle-Zélande et aux Etats-Unis. Le malware TrickBot fait sans doute aussi partie des programmes distribués par ce même serveur C2.

Ayant réussi à accéder à une console de commande, Martin Hron est convaincu que le serveur C2 a été utilisé en tant que botnet-as-a-service contrôlant près de 230 000 routeurs vulnérables MikroTik, et pourrait bien être aussi derrière le botnet Meris évoqué par QRator Labs dans un billet posté sur son blog, qui a ouvert la voie aux attaques DDos mentionnées plus haut.

Les cybercriminels à l’origine de ce botnet ont réussi à prendre le contrôle de tous ces routeurs puis de les proposer comme service, moyennant paiement, en exploitant des identifiants de connexion utilisés par défaut, ainsi que plusieurs vulnérabilités, notamment la faille CVE-2018-14847 rendue publique en 2018 et pour laquelle MikroTik a publié un correctif.

L’enquête de Martin Hron révèle par ailleurs que des appareils LigoWave pourraient bien avoir intégré le botnet TrickBot.

Une récente étude de la société Imperva laisse entendre que les membres du groupuscule REvil à l’origine d’extorsions par rançongiciels, utilisent aussi des appareils MikroTik ou le botnet Meris pour lancer leurs attaques DDoS. Ces appareils semblent bien appartenir au même botnet-as-a-service. D’après les informations obtenues par Avast, le botnet Meris a été démantelé par les forces de l’ordre russes en septembre 2021, juste après la publication des conclusions de QRator. Il s’agit là d’un nouveau cas d’exploitation des vulnérabilités déjà mises au jour dans les routeurs MikroTik.

Selon le moteur de recherche Shodan.io, les routeurs MikroTik au port critique 8921 ouvert sont les plus nombreux au Brésil (266 000), en Russie (180 000), aux Etats-Unis (146 000), en Italie (83 000) et en Indonésie (69 000). Les propriétaires de ces routeurs ont (à leur insu) été impliqués lors de ces actes délictueux. Avast recommande aux utilisateurs de mettre leurs routeurs à jour en appliquant les derniers patchs de sécurité publiés, à choisir un mot de passe très fort, à désactiver l’interface de gestion de chaque routeur (côté public) et à aider quiconque s’y connaîtrait moins sur le plan technique.