Вирус VpnFilter атакует mikrotik и как защититься от него

VPNFilter Mikrotik

На просторах интернета уже много написано на счет нового вируса VPNFilter который добрался до устройств mikrotik. В данной статье я опишу простые и действенные методы которые защитят ваши роутеры от этого ботнета.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Описание вируса VPNFilter

За последние пару лет я все чаще встречаюсь с информацией о хакерских атаках, которые направлены на сетевое оборудование, но чаще всего говорят от таких производителях как Cisco, Juniper, HP и дт. То есть железках мирового уровня, но сейчас у производителей зловредного кода набирает популярность атаки на устройства фирмы mikrotik. Еще в марте этого 2018 года появилась информация об хакерских атаках на SOHO сегмент. Больше всего под удар попали роутеры под управлением RouterOS ниже версии v6.38.5.

Принцип его действия заключался в том что некий ботнет сканировал все публичные ip адреса с определенной целью, а именно искал он открытые 80 (www) и 8291 (WinBox) порты и по ответам от устройств определял работает ли он на RouterOS и если да то какой она версии. В тот момент как это стало известно большому сообществу, производитель заявил, что данная уязвимость была закрыта еще в 2017 году и порекомендовала обновить все устройства до актуальной версии и закрыть не безопасный 80 порт. Отмечу еще то, что эта атака только собирала информацию и не как не влияла на сами устройства mikrotik.

Вы спросите, как написано выше связано с VPNFilter? Отвечу, что совсем недавно подразделения Cisco которое занимается кибербезопасностью опубликовало информация о вредоносной программе, которая использует ту самую уязвимость и назвали ее VPNFilter. Этот ботнет способен красть пользовательские данные используя тип атаки man-in-the-middle. То есть VPNFilter может модифицировать трафик, проходящий через роутер. Также он может зеркалировать или полностью передавать интересующий его трафик на подконтрольные создателям сервера.

Интересный факт, что большинство устройств зараженный этим зловредом находятся в Украине. Не так давно, как сообщает агентство Talos — VPNFilter обзавелся функцией самоуничтожения и может без следа удалить себя с устройства и, если захочет сделать из роутера кирпич.

Защита от VPNFilter на mikrotik

Не буду долго описывать все этапы подробно опишу действия вкратце которые эффективно защитят ваше устройство от этого вируса. Итак, начнем:

  • Обновите RouterOS до последней актуальной версии
  • Закройте или поменяйте порты 80 и 8291 на нестандартные
  • Разрешите в Firewall только те входящие порты, которые используются вами и вашей организацией, а все остальное запретите.
  • Разрешите доступ по winbox и http только с доверенных ip адресов.
  • Поменяйте пароль к устройству и к VPN если они у вас есть на сложные типо (Dfr@4#4@vgLLef@drf)
  • Если устройство позволяет получить доступ к файловой системе, проверьте наличие каталогов var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если они есть — отключите устройство от сети Интернет и произведите перепрошивку ПО.

Эти простые меры позволят вам на 100 процентов защитить свой mikrotik от VPNFilter. В интернете нашел множество различных методов настройки для отражения этих атак, но, уверяю вас, того, что написано выше хватает с головой. Ведь все хакерские атаки направлены на то, что люди не соблюдают элементарных правил безопасности.

Есть отличная статья под названием безопасность вашего роутера здесь  почитайте тут сама фирма микротик дает рекомендации на все случаи жизни.

Если нужно будет подготовить мануал со скринами как тонко настроить безопасность роутера пиши об этом в комментариях, если будет много желающих, то подготовлю статью на эту тему.

Также вступаете в нашу группу в телеграмм https://t.me/joinchat/Erf7Ow2kM6Ep5EuPAaXKtQ (скопируйте эту ссылку в любой чат телеграмма и перейдите по ней, если она так не открывается, так как РКН может блокировать ее) там надеюсь будет много единомышленником с которыми можно делиться знаниями и задавать вопросы.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.