Особенности ботнета Mēris:

• использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено),
• атаки ориентированы на эксплуатацию RPS (подтверждено);
• открытый порт 5678/TCP (подтверждено);
• SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя мы знаем, что устройства Mikrotik используют SOCKS4).

Неизвестно, как именно были захвачены устройства, но можно предположить, что захвачены они были ещё в 2017 году, используя уязвимость старой прошивки. Информация была передана в компанию Mikrotik для анализа. Возможно, есть новая уязвимость, не известная производителю. Наши же специалисты предполагают, что многие, как это часто бывает, просто не обновляют свои устройства. Причина достаточно проста - у Mikrotik нет функции автообновления. К тому же, многие обычные пользователи устройств латышской компании, не являются специалистами в ИТ или ИБ отраслях. Им данные устройства посоветовали их друзья, например, работающие в сфере ИТ и знакомые с оборудованием Mikrotik. Один раз настроили и забыли, а домашним пользователям ни к чему заходить на маршрутизатор, если не возникает проблем. А если и возникают, их пытаются решить классическим отключением роутера от питания.

Второй немаловажной причиной, которой грешат в том числе и не очень опытные специалисты, являются открытые стандартные порты, использование стандартной учётки admin с простым паролем и отсутствие правил firewall.

Вот несколько рекомандаций, которые помогут защитить Ваш Mikrotik:

1. Отключить все неиспользуемые сервисные порты (находятся в IP - Services, управлять можно как из консоли, так и из Winbox или браузера). Если какие-то сервисы используются, то изменить порты на нестандартные, желательно, чтобы они не входили в топ 1000, так как всем известный в узких кругах nmap часто используют именно для быстрого сканирования.
2. Создать учётную запись администратора с нетипичным именем (root, admin, user и т.д.), чтобы её было проблематично обнаружить при брутфорсе.
3. Стандартной учётной записи присвоить сложный пароль и отключить её. Для всех используемых учетных записей администратора использовать сложные пароли (от 8 символов, большие и маленькие буквы, цифры, спецсимволы). В идеале менять пароль хотя бы раз в квартал. Если есть пользователи, которым нужно просто посмотреть конфигурацию или логи, то выдавать им именно группу на просмотр, а не группу на изменение и тем более не группу со значением full. Теперь, если злоумышленник и попытается просканировать Ваш Mikrotik или сбрутить пароль, если обнаружит спрятанный Вами ssh, на это понадобится уйма времени и результат вряд ли будет положительным. Но что, если пароль оказался в утечках или брут, всё-таки, прошёл успешно?
   
4. Создайте правила для firewall (IP - Firewall) на запрет попыток сканирования. Как только будет обнаружена попытка сканирования роутера, IP-адрес злоумышленника будет отправлен в бан на срок, который Вы укажете.
5. Ну, и если хочется защититься максимально, и Вы готовы пожертвовать удобством, например, в случае чего зайти удалённо на свой роутер с телефона и перезагрузить, то в тех же настройках Firewall, на вкладке Address Lists можно указать адреса, с которых, в принципе, возможно подключиться к Mikrotik. Например, указать подсеть домашней локальной сети и IP-адрес вашего рабочего компьютера. Но важно помнить, указывая внешний адрес, что он должен быть статическим. Иначе, когда адрес изменится, доступ к маршрутизатору будет потерян.

Теперь в логах можно периодически наблюдать различные попытки сканирования, улетевшие в бан адреса и спокойно попивать чай, но не забывать обновлять свои устройства. На всякий случай напомним: "System - Packages", здесь можно проверить обновления, отключить ненужные пакеты, например ipv6 или hotspot. На вкладке Check For Updates рекомендуем использовать Chanell Stable или Long Term, туда попадают обновления уже проверенные и вероятность ухудшения работоспособности стремится к 0.