На просторах интернета уже много написано на счет нового вируса VPNFilter который добрался до устройств mikrotik. В данной статье я опишу простые и действенные методы которые защитят ваши роутеры от этого ботнета.
Описание вируса VPNFilter
За последние пару лет я все чаще встречаюсь с информацией о хакерских атаках, которые направлены на сетевое оборудование, но чаще всего говорят от таких производителях как Cisco, Juniper, HP и дт. То есть железках мирового уровня, но сейчас у производителей зловредного кода набирает популярность атаки на устройства фирмы mikrotik. Еще в марте этого 2018 года появилась информация об хакерских атаках на SOHO сегмент. Больше всего под удар попали роутеры под управлением RouterOS ниже версии v6.38.5.

Принцип его действия заключался в том что некий ботнет сканировал все публичные ip адреса с определенной целью, а именно искал он открытые 80 (www) и 8291 (WinBox) порты и по ответам от устройств определял работает ли он на RouterOS и если да то какой она версии. В тот момент как это стало известно большому сообществу, производитель заявил, что данная уязвимость была закрыта еще в 2017 году и порекомендовала обновить все устройства до актуальной версии и закрыть не безопасный 80 порт. Отмечу еще то, что эта атака только собирала информацию и не как не влияла на сами устройства mikrotik.

Вы спросите, как написано выше связано с VPNFilter? Отвечу, что совсем недавно подразделения Cisco которое занимается кибербезопасностью опубликовало информация о вредоносной программе, которая использует ту самую уязвимость и назвали ее VPNFilter. Этот ботнет способен красть пользовательские данные используя тип атаки man-in-the-middle. То есть VPNFilter может модифицировать трафик, проходящий через роутер. Также он может зеркалировать или полностью передавать интересующий его трафик на подконтрольные создателям сервера.

Интересный факт, что большинство устройств зараженный этим зловредом находятся в Украине. Не так давно, как сообщает агентство Talos — VPNFilter обзавелся функцией самоуничтожения и может без следа удалить себя с устройства и, если захочет сделать из роутера кирпич.
Защита от VPNFilter на mikrotik
Не буду долго описывать все этапы подробно опишу действия вкратце которые эффективно защитят ваше устройство от этого вируса. Итак, начнем:
Обновите RouterOS до последней актуальной версии
Закройте или поменяйте порты 80 и 8291 на нестандартные
Разрешите в Firewall только те входящие порты, которые используются вами и вашей организацией, а все остальное запретите.
Разрешите доступ по winbox и http только с доверенных ip адресов.
Поменяйте пароль к устройству и к VPN если они у вас есть на сложные типо (Dfr@4#4@vgLLef@drf)
Если устройство позволяет получить доступ к файловой системе, проверьте наличие каталогов var/run/vpnfilterm, /var/run/vpnfilterw, var/run/torr и var/run/tord. Если они есть — отключите устройство от сети Интернет и произведите перепрошивку ПО.

Эти простые меры позволят вам на 100 процентов защитить свой mikrotik от VPNFilter. В интернете нашел множество различных методов настройки для отражения этих атак, но, уверяю вас, того, что написано выше хватает с головой. Ведь все хакерские атаки направлены на то, что люди не соблюдают элементарных правил безопасности.

Есть отличная статья под названием безопасность вашего роутера здесь почитайте тут сама фирма микротик дает рекомендации на все случаи жизни.

Если нужно будет подготовить мануал со скринами как тонко настроить безопасность роутера пиши об этом в комментариях, если будет много желающих, то подготовлю статью на эту тему.

Также вступаете в нашу группу в телеграмм [t.me] (скопируйте эту ссылку в любой чат телеграмма и перейдите по ней, если она так не открывается, так как РКН может блокировать ее) там надеюсь будет много единомышленником с которыми можно делиться знаниями и задавать вопросы.