leh_a (leh_a) wrote,
leh_a
leh_a

Categories:

Микротики завалили целый Yandex, почти.



Понедельник начался граблями откуда не ждал. Встало колом разрешение доменных имён через облако Mikrotik (засуспендили домен mynetname.net). Обычно такое бывает когда кто то забыл внести денег за пролонгацию на следующий год. Оказывается нет. Судя по постам на форуме mikrotik.com реально забыли денег заплатить.

В понедельник кто то пытался завалить инфрастуктуру Яндекса с помощью ботнета. Две уважаемые компании по безопасности указали на то что это поломанное (или криво настроенное) оборудование Mikrotik. Но всё без технических подробностей. Представители производителя на вопрос средств массовой информации дал такой комментарий.

Представитель MikroTik заявил «Ведомостям», что в их собственной операционной системе RouterOS ранее была обнаружена уязвимость, но она была устранена в 2018 г. «Многие устройства все еще работают на старом ПО, но предупредить об этом каждого пользователя на планете сложно», – отметил представитель MikroTik. Как сообщалось в блоге MikroTik, в апреле 2018 г. компания обнаружила уязвимость, которая позволяла запросить файл базы данных пользователей системы, используя специальный инструмент.
«Нам неизвестно о каких-либо новых уязвимостях, с тех пор как упомянутая была устранена, RouterOS тщательно изучается независимыми аудиторскими компаниями», – сообщил представитель MikroTik.

Активность нового ботнета Qrator Labs наблюдает не только в России, но и в Европе, США, Индии, на Ближнем Востоке, в регионе APAC, в Латинской Америке, отмечает Лямин: «Атаки коснулись крупнейших банков, e-commerce компаний, интернет-сервисов по всему миру, и ущерб от них уже вышел на уровень миллиардов рублей».



upd. Появились технические подробности от расследователей инцидентов безопасности.

Особенности ботнета Mēris:

  • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)

  • Атаки ориентированы на эксплуатацию RPS (подтверждено)

  • Открытый порт 5678 (подтверждено)

  • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя мы знаем, что устройства Mikrotik используют SOCKS4)

Tags: tech support
Subscribe

Posts from This Journal “tech support” Tag

  • Mikrotik не видит модем Huawei E3372.

    При переезде клиент сломал (физически) USB 4G модем. Пошёл в лабаз и купил Huawei E3372. Единственное что было из не залоченных на провайдера…

  • Veeam для физических машин

    Психанул чот. Недельные приседания вокруг бекапа полутора терабайтов данных на машине с Windows 10 подзаколебали. Стандартная бекапилка от MS…

  • Чего то с Group-ib происходит

    В свете вот этого и вот этого нужно признать и Group IB экстремистской организацией и всех кто оплачивал счета полученные с group-ib.com привлечь к…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 0 comments