MikroTik признала, что ботнет был из ее устройств и согласилась с названием, которое ему дали в Qrator и «Яндексе»
15 сентября 2021 года MikroTik признала, что часть ботнета Mēris была из ее устройств. Компания согласилась с названием этой сети зараженных устройств, которое дали в Qrator Labs и «Яндексе». MikroTik выпустила инструкцию для пользователей, чтобы проверить сетевое устройство на возможность перехвата управления от Mēris.
MikroTik уточнила, что ботнет Mēris управляет сетевыми устройствами, которые были взломаны в 2018 году с использованием уязвимости RouterOS под номером CVE-2018-14847. Производитель тогда постарался оперативно исправить эту уязвимость, но до сих пор многие пользователи не обновили свои устройства или забыли после обновления сменить пароль.
MikroTik попыталась связаться со всеми пользователями RouterOS по этой проблеме. Оказалось, что в базе компании есть только часть контактов пользователей таких роутеров. Клиенты большинства пострадавших устройств никогда не контактировали с MikroTik и не осуществляли активный мониторинг своих устройств. В компании работают над решением по их информированию.
Компания в сотрудничестве с независимыми исследователями безопасности обнаружила вредоносное ПО, которое пытается перенастроить сетевые устройства MikroTik с компьютера на базе Windows, расположенного внутри домашней сети.
MikroTik порекомендовала регулярно обновлять прошивку своих сетевых устройств, не открывайте доступ к устройствам извне или использовать для этого службу VPN, например, IPsec. Компания советует в целях безопасности сменить пароль на надежный, зайдя на устройств с проверенного и безопасного терминала.
Пользователям необходимо проверить конфигурацию RouterOS на наличие неизвестных или подозрительных настроек и удалить их. Это могут быть непонятно откуда возникшие правила в планировщике, которые скрыто выполняют вредоносные скрипты, клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP, правило в брандмауэре, разрешающее доступ к порту 5678. Также необходимо отключить использование Socks proxy в настройках IP.
5 сентября «Яндекс» выдержал крупнейшую в истории рунета DDоS-атаку. Ее инициатором оказался ботнет нового типа Mēris, управляющий более 200 тыс. зараженными сетевыми устройствами, предположительно производителей Mikrotik и Linksys. В настоящее время происходит рост мощностей этого ботнета, в том числе за счет получения им доступа все к большему парку сетевых устройств. В атаке на «Яндекс» мощность ботнета достигала почти 21,8 млн RPS (запросов в секунду). Это была крупнейшая в истории зарегистрированная атака на уровне приложения (L7 DDoS attack).
8 сентября ботнет Mēris атаковал инфраструктуру сервисов Хабра. Инцидент был зафиксирован и парирован силами Qrator Labs так, что пользователи ресурса ничего не заметили.
