روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ حملات اخیر DDoS با مقیاس بزرگ که از بات‌نت جدیدی به نام Mēris استفاده می‌کردند در هر ثانیه تقریباً به 22 میلیون درخواست رسیده است. به نقل از تحقیقات Qrator، دستگاه‌های شبکه‌ایِ MikroTik حجم بالایی از ترافیک این بات‌نت را به خود اختصاص دادند. متخصصین MikroTik وقتی این وضعیت را تحلیل کردند هیچ آسیب‌پذیری‌ جدیدی در روترهای این شرکت پیدا نکردند. با این حال آسیب‌پذیری‌های قدیمی شاید هنوز عامل تهدید به حساب بیایند. از این رو برای این تضمین داده شود روتر شما به بات‌نت Mēris  (یا هر بات‌نت دیگری برای این منظور) ملحق نشده می‌بایست به چند توصیه عمل کنید. با ما همراه بمانید.

چرا دستگاه‌های MikroTik دارند به این بات‌نت ملحق می‌شوند؟

چند سال پیش، تحقیقات امنیتی آسیب‌پذیری‌ای را در روترهای MikroTik کشف کرد: Winbox، یک ابزار تنظیمات برای روترهای MikroTik که از طریق آن‌ها بسیاری از دستگاه‌ها دستکاری می‌شدند. گرچه MikroTik سال 2018 این آسیب‌پذیری را رفع کرد اما ظاهراً همه کاربران هم روترهای خود را آپدیت نکردند. علاوه بر این، حتی میان آن‌هایی هم که دستگاه‌های خود را آپدیت کردند همه هم به توصیه‌های تغییر پسورد تولیدکننده گوش ندادند. اگر کاربری پسورد را عوض نمی‌کرد پس حتی سفت‌افزار آپدیت‌شده هم نمی‌توانست جلوی لاگین شدن مهاجمین را به روتر و اکسپلویت کردنِ مجدد آن را بگیرد. به نقل از شرکت MikroTik، روترهایی که اکنون به Mēris مبتلا هستند همان دستگاه‌هایی هستند که سال 2018 دستکاری شده بودند. این شرکت شاخص‌هایی از دستکاری دستگاه را نشر داد و نیز توصیه‌هایی را صادر کرد.

چطور تشخیص دهیم روتر  MikroTik شما بخشی از بات‌نت است

وقتی روتری به بات‌نت ملحق می‌شود، مجرمان سایبری تعداد تنظیمات را در سفت‌افزار دستگاه تغییر می‌دهند. بنابراین اولیه توصیه MikroTik نگاه کردن به تنظیمات دستگاه است و بعد بررسی موارد زیر:

•         قانونی که اسکریپت را با متود fetch اجرا کند. این قانون را در صورت وجود حذف کنید (زیر System → Scheduler).
•         پروکسی  SOCKS فعالسازی شود. این تنظیمات را زیر IP → SOCKS پیدا خواهید کرد (اگر آن را استفاده نمی‌کنید غیرفعالش نمایید).
•         یک کلاینت L2TP به نام  lvpn (یا هر کلاینت L2TP که به چشمتان ناآشنا می‌آید). این کلاینت‌ها را هم پاک کنید.
•         قانون فایروالی که اجازه دسترسی ریموت از طریق پورت 5678 را بدهد. این قانون را هم حذف کنید.

توصیه‌هایی برای محافظت از روتر  MikroTik شما

آپدیت‌های منظم بخش مهمی هتسند از هر استراتژی موفق تدافعی. حفظ امنیت یک شبکه MikroTik تا حد زیادی در گروی دنبال کردن بهترین اقدامات امنیتی شبکه است.

•         مطمئن شوید روتر شما از جدیدترین سفت‌افزار موجود استفاده می‌کند و آن را نیز مرتباً به روز کنید.
•         دسترسی ریموت به دستگاه را غیرفعال کنید مگر کاملاً بدان نیاز داشته باشید.
•         باری دیگر می‌گوییم اگر شدیداً نیاز دارید دسترسی ریموت را تنظیم کنید؛ آن هم از طریق یک کانال وی‌پی‌ان. برای مثال از یک پروتکل  IPsec استفاده کنید.
•         از پسوردی استفاده کنید که طولانی و قوی باشید. حتی اگر پسورد فعلی شما قوی است همین الان تغییرش دهید.

به طور کلی فرض را بر این بگیرید که شکه محلی شما امن نیست و اگر یکی از کامپیوترها مبتلا شود بدافزار می‌تواند از داخل محیط شما به روتر هم حمله کرده و با جستجوی فراگیر پسوردهای شما را نیز تحت اختیار خود قرار دهد. برای همین است که به نوبه خود توصیه می‌کنیم از راهکارهای امنیتی قابل اطمینان روی همه کامپیوترهای متصل به اینترنت استفاده کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.