Предупрежден, значит вооружен. Хотя нет, не так, гигиена наше все. А кто сказал, что снаряд не попадает в одну и туже воронку?

После того как СБУ и Киберполиция написали, что в Украине готовится новая волна кибератак, смотри ссылки.
https://ssu.gov.ua/ua/news/1/category/2/view/4823…
и
https://cyberpolice.gov.ua/…/naperedodni-finalu-ligy-chemp…/
причем новость с сайта киберполиции чем-то напоминает новость с сайта
https://www.symantec.com/…/threat-int…/vpnfilter-iot-malware

То же интересно
https://www.reuters.com/…/cyber-firms-warn-on-suspected-rus…

Но, дело не в этом, а в том, что мы снова наступили на те же самые грабли!
Мы нация технарей которая бьет себя пяткой в грудь, снова и по той же схеме.

Принцип агента влияния (понятно он не один) по определению следующей атаки посредством уязвимости, был прост! Изучается наибольше проникновение, какого то продукта на сети, или в сети, видя МАС легко понять кто производитель. Там этих сниферов вагон и тележка.

После того как "петья" покосил «оконную софтину» в которой админы забывали патчить и там селились эксплойты, мы получили колапас в многих компаниях, но сети тогда работали, практически не зацепило.

То есть по сути вина персонала, которому ЛЕНЬ было отслеживать новости по патчам или следить за вашим оборудованием.

Но теперь мы имеем новую уязвимость! Которая, образовалась, как следствие из за той же лени технического персонала. И которая, может и/или уложить ваши сети, или перехватить управление чего-то, хотя может уже и перехватило…

Так сложилось, что распространенный продукт роутера у нас в стране, это роутеры от компании Mikrotik. Это ХОРОШИЙ ПРОДУКТ! Он массовый, недорогой и удобный, его % по стране в общем то несложно было просчитать. И самое худшее, что он стоит не только у клиента, а где то и на сетях оператора!

Просчитав какой у нас продукт доминирует, и посредством атаки на него будет наибольшая коллизия, агенты нашли там уязвимость, далее проанализировали эти уязвимости поняли, да мы тут просто колондайк дырок.
Ну а дальше это все вопрос техники и времени заложить нам тут подляночку…

Хотя, на форумах Микротика эти вопросы безопасности уже давно обсуждают.
https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
Причем обращаю внимание, тех персонала, все обновления совершенно бесплатно!

Откуда я сделал вывод о продукте Микротик. Есть список скомпроментированных IP адресов операторов. Получив набор IP адресов и проанализировав их, пришли к выводу, что это 90% адреса принадлежащие роутерам под ОС микротик, стоящие или на сети операторов или у клиентов операторов.
Далее я уточнил а как давно вы что то там обновляли, разводили руками…

Господа, кто нашел в списках которые уже есть в #ТК свои адреса разбирайтесь, так же списки могут быть отправлены персонально по вашим городам, посмотрите на ваше железо под ОС Микротик и обновите прошивки. Даже если вы не получили список уделите этому вопросу внимание!
Никакие перегрузки вам точно не помогут, о чем идет в отчете Symantec.

А теперь самое главное, неизвестно как долго там была или есть у закладка.
Из описания следует, что может собирать файлы, управлять устройствами, может просто перезаписаться и после перезагрузки вы получите просто ненужный девайс.

Для тех, у кого есть решения под Микротик на оборонных объектах.
Обратите внимание на эту строчку.
Существует несколько известных модулей Stage 3, которые действуют как плагины для этапа 2. Они включают в себя пакетный сниффер для отслеживания трафика, который маршрутизируется через устройство, включая кражу учетных данных веб-сайта и мониторинг протоколов SCADA Modbus. Другой модуль Stage 3 позволяет Stage 2 обмениваться данными с использованием Tor.

Если у меня есть поврежденное устройство, что мне делать?

Пользователям поврежденных устройств рекомендуется перезагрузить их немедленно. Если устройство заражено VPNFilter, перезагрузка удалит Stage 2 и любые элементы Stage 3, присутствующие на устройстве. Это будет (по крайней мере временно) удалить разрушающий компонент VPNFilter. Однако, если зараженное, продолжающееся присутствие этапа 1 означает, что этапы 2 и 3 могут быть переустановлены атакующими.
Затем вы должны применить последние доступные обновления.
Инструкцию как и что делать читайте в отчете Symantec

Господа операторы, я так понимаю это все ляжет теперь на ваши плечи… но ведь это могут быть ваши клиенты, которые уязвимы и через ваши сети может что то произойти. Лучшее, что может произойти это DD0S внутри страны…

Есть еще одно но…., эта платформа массово у нас используется в МО….ну вот так сложилось исторически.
Но надеемся, что там нет выхода в сеть Интернет, или таки волонтеры обновили уже все прошивки.

Для роутеров компании NETGEAR
https://kb.netgear.com/…/Security-Advisory-for-VPNFilter-Ma…

В заключение, уже собаку на этом сьели!
Кто сказал, что ваш администратор должен сидеть и сдувать пыль с оборудования?
Он должен денно и ночно отслеживать все новости по оборудованию используемое у вас на сети на предмет его уязвимости.
Пересмотрите ваши инструкции и положения по безопасности.

Источник: facebook.com