September 9th, 2021

Микротики завалили целый Yandex, почти.



Понедельник начался граблями откуда не ждал. Встало колом разрешение доменных имён через облако Mikrotik (засуспендили домен mynetname.net). Обычно такое бывает когда кто то забыл внести денег за пролонгацию на следующий год. Оказывается нет. Судя по постам на форуме mikrotik.com реально забыли денег заплатить.

В понедельник кто то пытался завалить инфрастуктуру Яндекса с помощью ботнета. Две уважаемые компании по безопасности указали на то что это поломанное (или криво настроенное) оборудование Mikrotik. Но всё без технических подробностей. Представители производителя на вопрос средств массовой информации дал такой комментарий.

Представитель MikroTik заявил «Ведомостям», что в их собственной операционной системе RouterOS ранее была обнаружена уязвимость, но она была устранена в 2018 г. «Многие устройства все еще работают на старом ПО, но предупредить об этом каждого пользователя на планете сложно», – отметил представитель MikroTik. Как сообщалось в блоге MikroTik, в апреле 2018 г. компания обнаружила уязвимость, которая позволяла запросить файл базы данных пользователей системы, используя специальный инструмент.
«Нам неизвестно о каких-либо новых уязвимостях, с тех пор как упомянутая была устранена, RouterOS тщательно изучается независимыми аудиторскими компаниями», – сообщил представитель MikroTik.

Активность нового ботнета Qrator Labs наблюдает не только в России, но и в Европе, США, Индии, на Ближнем Востоке, в регионе APAC, в Латинской Америке, отмечает Лямин: «Атаки коснулись крупнейших банков, e-commerce компаний, интернет-сервисов по всему миру, и ущерб от них уже вышел на уровень миллиардов рублей».



upd. Появились технические подробности от расследователей инцидентов безопасности.

Особенности ботнета Mēris:

  • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)

  • Атаки ориентированы на эксплуатацию RPS (подтверждено)

  • Открытый порт 5678 (подтверждено)

  • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя мы знаем, что устройства Mikrotik используют SOCKS4)