669573
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) уведомляет об актуальной угрозе массированных распределенных атак типа «отказ в обслуживании» (DDoS-атак). С августа текущего года атаки затрагивают ряд крупных международных компаний.
По разным оценкам в DDoS-атаках участвуют от 50 тысяч до 200 тысяч хостов, часть из которых состоит из скомпрометированных устройств MikroTik различных версий (вплоть до версии RouterOS 6.48.4). Бот-сеть, объединяющая указанные устройства, получила наименование Mēris. По данным НКЦКИ, в неё включено более 40 тысяч заражённых устройств. Теоретическая мощность атак, которые могут быть реализованы с помощью этой бот-сети, составляет от 20 млн до 170 млн запросов в секунду.
Вовлечение устройств в бот-сеть происходит посредством использования украденных ранее аутентификационных данных или эксплуатации различных уязвимостей с целью получения несанкционированного доступа к устройству и последующей загрузкой вредоносного программного обеспечения.
Технические особенности бот-сети Mēris:
- подключение зараженных устройств к VPN серверу злоумышленника;
- включение SSH на зараженном устройстве;
- отключение Telnet, API, Winbox;
- использование Socks4 proxy;
- открытие на зараженном устройстве 5678 порта;
- использование технологии конвейерной отправки HTTP запросов (HTTP pipelining) для проведения DDoS-атак.
НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:
- Обновить прошивки устройств MikroTik до актуальных версий.
- Сменить аутентификационные данные (логин и пароль) на устройствах MikroTik.
- Воспользоваться рекомендациями компании MikroTik, которые доступны по следующему адресу: https://blog.mikrotik.com/security/meris-botnet.html
- Проверить в сетевом трафике наличие индикаторов компрометации, представленных в файле «IOC20210920.csv».
Скачать индикаторы вредоносной активности в формате CSV: |
Скачать бюллетень НКЦКИ в формате PDF: |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru