НКЦКИ предупреждает об угрозе DDoS-атак с использованием роутеров MikroTik

НКЦКИ предупреждает об угрозе DDoS-атак с использованием роутеров MikroTik

НКЦКИ предупреждает об угрозе DDoS-атак с использованием роутеров MikroTik

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) уведомляет об актуальной угрозе массированных распределенных атак типа «отказ в обслуживании» (DDoS-атак). С августа текущего года атаки затрагивают ряд крупных международных компаний.

По разным оценкам в DDoS-атаках участвуют от 50 тысяч до 200 тысяч хостов, часть из которых состоит из скомпрометированных устройств MikroTik различных версий (вплоть до версии RouterOS 6.48.4). Бот-сеть, объединяющая указанные устройства, получила наименование Mēris. По данным НКЦКИ, в неё включено более 40 тысяч заражённых устройств. Теоретическая мощность атак, которые могут быть реализованы с помощью этой бот-сети, составляет от 20 млн до 170 млн запросов в секунду.

Вовлечение устройств в бот-сеть происходит посредством использования украденных ранее аутентификационных данных или эксплуатации различных уязвимостей с целью получения несанкционированного доступа к устройству и последующей загрузкой вредоносного программного обеспечения.

Технические особенности бот-сети Mēris:

  • подключение зараженных устройств к VPN серверу злоумышленника;
  • включение SSH на зараженном устройстве;
  • отключение Telnet, API, Winbox;
  • использование Socks4 proxy;
  • открытие на зараженном устройстве 5678 порта;
  • использование технологии конвейерной отправки HTTP запросов (HTTP pipelining) для проведения DDoS-атак.

НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:

  1. Обновить прошивки устройств MikroTik до актуальных версий.
  2. Сменить аутентификационные данные (логин и пароль) на устройствах MikroTik.
  3. Воспользоваться рекомендациями компании MikroTik, которые доступны по следующему адресу: https://blog.mikrotik.com/security/meris-botnet.html
  4. Проверить в сетевом трафике наличие индикаторов компрометации, представленных в файле «IOC20210920.csv».

Скачать индикаторы вредоносной активности в формате CSV:  

Скачать бюллетень НКЦКИ в формате PDF: