Официальное заявление MikroTik о ботнете Mēris

Дата: 11.10.2021

В начале сентября 2021 года компания QRATOR labs опубликовала статью о новой волне DDoS-атак, производимых из ботнета, затрагивающего устройства MikroTik.

Насколько стало известно производителю, в этих атаках задействованы те же самые маршрутизаторы, взломанные ещё в 2018 году, когда в MikroTik RouterOS имелась уязвимость, которая была быстро устранена.

В RouterOS не обнаружено новой уязвимости и вредоносных программ, скрывающихся внутри её файловой системы даже на поражённом оборудовании. Злоумышленник перенастраивает устройства RouterOS для удалённого доступа, используя команды и функции самой RouterOS.

К сожалению, закрытие старой уязвимости не сразу защищает данные маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр, чтобы он не разрешал удалённый доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.

Представители производителя пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не откликнулись и не следят внимательно за состоянием своих устройств. Сейчас MikroTik ищет и другие решения.

На данный момент в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими сторонними организациями.

Лучший план действий по защите оборудования

Регулярно обновляйте своё устройство MikroTik.
Не предоставляйте общий доступ к настройкам своего устройства через Интернет. Если необходим удалённый доступ, используйте только безопасный VPN-сервис, например IPsec-подключение.
Применяйте надёжный пароль и даже если он есть, измените его прямо сейчас!
Не думайте, что ваша локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к вашему роутеру, если на нём простой пароль или он вообще отсутствует.
Проверьте конфигурацию RouterOS на наличие неизвестных настроек (см. ниже).

Совместно с независимыми аналитиками в области информационной безопасности производитель обнаружил вредоносную программу, которая пытается изменить конфигурацию пользовательского устройства MikroTik через компьютер Windows в сети пользователя. Именно поэтому важно незамедлительно установить более надёжный пароль (для предотвращения беспарольного входа в систему или словарной атаки этого вредоносного ПО) и поддерживать маршрутизатор MikroTik в обновлённом состоянии (учитывая, что данный вредоносный софт также пытается использовать упомянутую уязвимость CVE-2018-14847, которая давно устранена).

Системная конфигурация, которую необходимо найти и удалить:

система (System) ⇒ правила планировщика (Scheduler), которые выполняют сценарий Fetch;
IP ⇒ прокси-сервер SOCKS (если вы не используете эту функцию или не знаете, зачем она нужна, её необходимо отключить);
клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP;
входное правило брандмауэра, разрешающее доступ через порт 5678.

Также можно обратиться к своему провайдеру для блокировки следующих адресов, к которым подключаются нижеуказанные вредоносные скрипты. Заблокируйте конечные точки туннеля в доменах:
	*.eeongous.com	*.leappoach.info	*.mythtime.xyz
Заблокируйте эти сценарии загрузки в доменах:
	1abcnews.xyz 1awesome.net 7standby.com audiomain.website bestony.club ciskotik.com cloudsond.me dartspeak.xyz fanmusic.xyz gamedate.xyz globalmoby.xyz	hitsmoby.com massgames.space mobstore.xyz motinkon.com my1story.xyz myfrance.xyz phonemus.net portgame.website senourth.com sitestory.xyz spacewb.tech	specialword.xyz spgames.site strtbiz.site takebad1.com tryphptoday.com wchampmuse.pw weirdgames.info widechanges.best zancetom.com
По сообщениям других пользователей в Интернете, ботнетом также используются следующие домены:
	bestmade.xyz gamesone.xyz	mobigifs.xyz myphotos.xyz	onlinegt.xyz picsgifs.xyz

« К списку новостей

Предыдущая новость
MikroTik: инструмент ZeroTier добавлен в RouterOS версии 7