Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.

9 сентября 2021 года компания Яндекс опубликовала подробности произошедшей ранее крупнейшей в истории интернета DDoS-атаки на свои сервисы. Скомпрометированными оказались устройства под управлением RouterOS, ботнет существовал (и существует) на Mikrotik'ах как старых моделей, так и свежих. Совместно с компанией Qrator Labs была отражена рекордная атака в 20 миллионов RPS.

Тогда ещё безымянному ботнету было дано имя Mēris, что по-латышски означает «чума».

Mēris отличается следующим:

• Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
• Атаки ориентированы на эксплуатацию RPS (подтверждено)
• Открытый порт 5678/TCP (подтверждено)
• SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используют SOCKS4)
• Для взаимодействия внутри сети используются обратные L2TP-туннели

На графике показано распределение зараженных по версиям RouterOS.

По информации компании Яндекс на них было осуществлено 5 атак с всё возрастающей силой:

7 августа – 5,2 млн RPS
9 августа – 6,5 млн RPS
29 августа – 9,6 млн RPS
31 августа – 10,9 млн RPS
5 сентября – 21,8 млн RPS

Выстояли.

Для выяснения масштабов и географии обитания было проведено исследование на предмет открытого TCP-порта 5678. Результаты пугающие, в глобальной сети было найдено 328 723 активных роутера, отвечающих на запросы пробы на порту.

ТОП-9 стран:

Странное распределение... США с большим отрывом, нет Европы и России.

Карта географического распределения (чем темнее, тем больше хостов)

После обращения Яндекса и Qrator Labs в Микротик, производитель признал наличие проблемы и выпустил соответствующее заявление в своём блоге и инструкцию, как обезопасить свой MikrOtik.

Перевод ниже:

---

В начале сентября 2021 года компания QRATOR labs опубликовала статью о новой волне DDoS-атак, исходящих из ботнета, содержащего устройства MikroTik.

Как мы понимаем, в этих атаках задействованы те же самые маршрутизаторы, взломанные ещё в 2018 году, когда MikroTik RouterOS имела уязвимость, которая была быстро устранена.

В RouterOS не обнаружено новой уязвимости и вредоносных программ, скрывающихся внутри её файловой системы даже на поражённом оборудовании. Злоумышленник перенастраивает устройства RouterOS для удалённого доступа, используя команды и функции самой RouterOS.

К сожалению, закрытие старой уязвимости не совсем защищает данные маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, проверить свой брандмауэр, чтобы он не разрешал удалённый доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.

Представители производителя пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не откликнулись и не следят внимательно за состоянием своих устройств. Сейчас MikroTik ищет и другие решения.

На данный момент в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими сторонними организациями.

"Лучший план" действий по защите оборудования

1. Регулярно обновляйте своё устройство MikroTik.
2. Не предоставляйте общий доступ к настройкам своего устройства через Интернет. Если необходим удалённый доступ, используйте только безопасный VPN-сервис, например IPsec-подключение.
3. Применяйте надёжный пароль и даже если он есть, измените его прямо сейчас!
4. Не думайте, что ваша локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к вашему роутеру, если на нём простой пароль или он вообще отсутствует.
5. Проверьте конфигурацию RouterOS на наличие неизвестных настроек (см. ниже).

Совместно с независимыми аналитиками в области информационной безопасности производитель обнаружил вредоносную программу, которая пытается изменить конфигурацию пользовательского устройства MikroTik через компьютер Windows в сети пользователя. Именно поэтому важно незамедлительно установить более надёжный пароль (для предотвращения беспарольного входа в систему или словарной атаки этого вредоносного ПО) и поддерживать маршрутизатор MikroTik в обновлённом состоянии (учитывая, что данный вредоносный софт также пытается использовать упомянутую уязвимость CVE-2018-14847, которая давно устранена).

Системная конфигурация, которую необходимо найти и удалить:

• система (System) ⇒ правила планировщика (Scheduler), которые выполняют сценарий Fetch;
• IP ⇒ прокси-сервер SOCKS (если вы не используете эту функцию или не знаете, зачем она нужна, её необходимо отключить);
• клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP;
• входное правило брандмауэра, разрешающее доступ через порт 5678. 

Также можно обратиться к своему провайдеру для блокировки следующих адресов, к которым подключаются нижеуказанные вредоносные скрипты. Заблокируйте конечные точки туннеля в доменах:
	*.eeongous.com		*.leappoach.info		*.mythtime.xyz
Заблокируйте эти сценарии загрузки в доменах:
	1abcnews.xyz 1awesome.net 7standby.com audiomain.website bestony.club ciskotik.com cloudsond.me dartspeak.xyz fanmusic.xyz gamedate.xyz globalmoby.xyz		hitsmoby.com massgames.space mobstore.xyz motinkon.com my1story.xyz myfrance.xyz phonemus.net portgame.website senourth.com sitestory.xyz spacewb.tech		specialword.xyz spgames.site strtbiz.site takebad1.com tryphptoday.com wchampmuse.pw weirdgames.info widechanges.best zancetom.com
По сообщениям других пользователей в Интернете, ботнетом также используются следующие домены:
	bestmade.xyz gamesone.xyz		mobigifs.xyz myphotos.xyz		onlinegt.xyz picsgifs.xyz