Как не стать частью ботнета: советы по защите роутеров от специалистов по безопасности Infosec, Qrator Labs и «Р-Техно»
В августе 2021 года ботнет Mēris, созданный при помощи сетевого оборудования MikroTik, начал крупнейшую в истории интернета DDoS-атаку, рассказывал «Яндекс». Эксперты по сетевой безопасности считают, что частью ботнета может стать каждый, а его жертвой — сервер любой компании.
Что известно о ботнете Mēris и его предшественниках
8 сентября «Яндекс» рассказал, что его сервисы подверглись DDoS-атаке. Ботнет Mēris (с латышского «чума») атаковал серверы компании в течение месяца. Атака провалилась.
- Ботнет — виртуальная сеть устройств, от компьютеров до IoT-приборов, к которым у хакеров есть удалённый доступ. Владельцы оборудования зачастую не подозревают, что оно стало частью ботнета.
Mēris насчитывает до 250 тысяч скомпрометированных устройств в разных странах мира. В его состав входят маршрутизаторы и роутеры марки MikroTik.
Мощность Mēris оценивается в 20 млн RPS (запросов в секунду). Ботнет, по данным «Яндекса», с августа атакует веб-серверы в Новой Зеландии, США и России. В компании назвали его «угрозой в масштабах страны».
Представители «Яндекса» также заявили, что атака никак не повлияла на работу сервисов, и данные пользователей не пострадали. Компания не раскрывала подробностей о возможных операторах ботнета и заказчиках DDoS-атаки. Неизвестно, обращалась ли она в полицию или ФСБ.
В тот же день владельцы ботнета попытались вывести из строя «Хабр».
Масштабные DDoS-атаки ботнетов случались и раньше.
- 7 февраля 2000 года сеть Rivolta (с итальянского «месть») 15-летнего хакера из Канады Майкла Калсе «уронила» сайты Buy.com, Amazon, CNN, Dell, eBay, FIFA и Yahoo. Ботнет состоял, по разным данным, из домашних компьютеров и взломанных университетских серверов. Компании оценили ущерб в $1,2 млрд. В 2011 году стало известно, что Калсе начал карьеру эксперта по информационной безопасности.
- В апреле 2015 года Интерпол уничтожил ботнет Simda, заразивший 770 тысяч компьютеров из 190 стран. С помощью уязвимостей в ПО от Oracle, Adobe и Microsoft хакеры добывали данные банковских карт и показывали пользователям всплывающие рекламные баннеры, на которых злоумышленники зарабатывали. Самые пострадавшие страны — Россия, США, Великобритания, Канада и Турция.
- 17 октября 2016 года ботнет Mirai (с японского «будущее») приостановил работу DNS-провайдера Dyn. Услугами провайдера пользовались Netflix, Reddit, Twitter и другие компании. В составе Mirai насчитывалось более 11 млн устройств «интернета вещей». Исходный код ботнета опубликован на Github.
Почему маршрутизаторы могут стать частью ботнета и как проверить свои устройства
Оборудование MikroTik популярно в России и на постсоветском пространстве благодаря хорошей скорости передачи данных и невысокой цене, считает специалист по администрированию сетей, сертифицированный компанией Cisco, Михаил Гнедой.
По его словам, это оборудование также подходит для организации сетей в малых и средних компаниях. Устройства MikroTik относятся к классу полупрофессиональных, при этом они более функциональны, чем маршрутизаторы Linksys, и дешевле сложных решений от Cisco.
Проблемы с сетевым оборудованием возникают не только у владельцев Mikrotik, рассказал vc.ru практикующий специалист по тестированию информационных систем Алексей Рыбалко.