timeПН-ПТ с 9:00 до 18:00
+7 (495) 916-72-53
Закажите обратный звонок

Официальное заявление MikroTik о ботнете Mēris

Дата: 11.10.2021

В начале сентября 2021 года компания QRATOR labs опубликовала статью о новой волне DDoS-атак, производимых из ботнета, затрагивающего устройства MikroTik.

Насколько стало известно производителю, в этих атаках задействованы те же самые маршрутизаторы, взломанные ещё в 2018 году, когда в MikroTik RouterOS имелась уязвимость, которая была быстро устранена.

В RouterOS не обнаружено новой уязвимости и вредоносных программ, скрывающихся внутри её файловой системы даже на поражённом оборудовании. Злоумышленник перенастраивает устройства RouterOS для удалённого доступа, используя команды и функции самой RouterOS.

К сожалению, закрытие старой уязвимости не сразу защищает данные маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр, чтобы он не разрешал удалённый доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.

Представители производителя пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не откликнулись и не следят внимательно за состоянием своих устройств. Сейчас MikroTik ищет и другие решения.

На данный момент в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими сторонними организациями.

   

 

Лучший план действий по защите оборудования

  • Регулярно обновляйте своё устройство MikroTik.
  • Не предоставляйте общий доступ к настройкам своего устройства через Интернет. Если необходим удалённый доступ, используйте только безопасный VPN-сервис, например IPsec-подключение.
  • Применяйте надёжный пароль и даже если он есть, измените его прямо сейчас!
  • Не думайте, что ваша локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к вашему роутеру, если на нём простой пароль или он вообще отсутствует.
  • Проверьте конфигурацию RouterOS на наличие неизвестных настроек (см. ниже).
 

Совместно с независимыми аналитиками в области информационной безопасности производитель обнаружил вредоносную программу, которая пытается изменить конфигурацию пользовательского устройства MikroTik через компьютер Windows в сети пользователя. Именно поэтому важно незамедлительно установить более надёжный пароль (для предотвращения беспарольного входа в систему или словарной атаки этого вредоносного ПО) и поддерживать маршрутизатор MikroTik в обновлённом состоянии (учитывая, что данный вредоносный софт также пытается использовать упомянутую уязвимость CVE-2018-14847, которая давно устранена).

Системная конфигурация, которую необходимо найти и удалить:

  • система (System) ⇒ правила планировщика (Scheduler), которые выполняют сценарий Fetch;
  • IP ⇒ прокси-сервер SOCKS (если вы не используете эту функцию или не знаете, зачем она нужна, её необходимо отключить);
  • клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP;
  • входное правило брандмауэра, разрешающее доступ через порт 5678. 

Также можно обратиться к своему провайдеру для блокировки следующих адресов, к которым подключаются нижеуказанные вредоносные скрипты.

Заблокируйте конечные точки туннеля в доменах:

  *.eeongous.com
*.leappoach.info
*.mythtime.xyz

Заблокируйте эти сценарии загрузки в доменах:

 
  • 1abcnews.xyz
  • 1awesome.net
  • 7standby.com
  • audiomain.website
  • bestony.club
  • ciskotik.com
  • cloudsond.me
  • dartspeak.xyz
  • fanmusic.xyz
  • gamedate.xyz
  • globalmoby.xyz
 
  • hitsmoby.com
  • massgames.space
  • mobstore.xyz
  • motinkon.com
  • my1story.xyz
  • myfrance.xyz
  • phonemus.net
  • portgame.website
  • senourth.com
  • sitestory.xyz
  • spacewb.tech
 
  • specialword.xyz
  • spgames.site
  • strtbiz.site
  • takebad1.com
  • tryphptoday.com
  • wchampmuse.pw
  • weirdgames.info
  • widechanges.best
  • zancetom.com

По сообщениям других пользователей в Интернете, ботнетом также используются следующие домены:

 
  • bestmade.xyz
  • gamesone.xyz
 
  • mobigifs.xyz
  • myphotos.xyz
 
  • onlinegt.xyz
  • picsgifs.xyz