Рекордная DDoS-атака совершена с помощью латвийских роутеров MikroTik
Мощные роутеры стали оружием для проведения сверхмощной DDoS-атаки интенсивностью 2,5 ТБ в секунду. Но главным фактором уязвимости роутеров стало пренебрежение к их безопасности со стороны конечных пользователей.
Рекордная атака – одна из многих
В мае 2024 г. произошла сверхмощная DDoS-атака, ее интенсивность составила 2,5 ТБ в секунду. Для атаки применялись облачные роутеры, разработанные компанией Mikrotik, сообщил облачный сервис-провайдер OVHcloud. Эта модель роутера обладает функцией стресс-тестирования, которая позволяет генерировать большой объем бессодержательного трафика в сетях. Доступ к роутерам злоумышленники получают благодаря небрежности владельцев устройств.
Это не первый случай использования для нападения этой модели. OVHcloud заявил, что в апреле 2024 г. нейтрализовал катастрофических масштабов DDoS-атаку, источником которой назван ботнет, включающий высокопроизводительные устройства компании Mikrotik. Интенсивность атаки составляла 840 млн пакетов в секунду.
По данным компании, мощность атак постоянно растет – тренд был задан в 2023 г., когда частота атак, превосходящих по мощности 1 ТБ в секунду, заметно увеличилась: в 2024 г. они стали происходить чуть ли ни ежедневно. Рекордная атака была зафиксирована 25 мая 2024 г. Предыдущий рекордсмен по количеству пакетов в секунду отмечен в 2020 г., когда на европейский банк обрушилась лавина в 809 млн пакетов в секунду. Атаку нейтрализовала компания Akamai.
По данным OVHcloud, в атаке 25 мая участвовали около 5000 уникальных IP-адресов. Две трети пакетов были перенаправлены всего через четыре точки присутствия на территории США. Как отмечает издание Bleeping Computer, возможность злоумышленника концентрировать настолько массивный трафик через сравнительно узкую полосу интернет-инфраструктуры дополнительно демонстрирует, насколько проблематичны эти атаки и как непросто с ними справляться.
Облачный роутер как оружие
В OVHcloud указывают, что в ходе некоторых атак широко использовались высокопроизводительные сетевые устройства, в первую очередь – разработанные компанией Mikrotik облачные роутеры CCR1036-8G-2S+ и CCR1072-1G-8S+. У таких устройств интерфейс довольно часто доступен извне, а программные оболочки в течение долгого времени остаются не обновляемыми, так что скомпрометировать их, зная конкретные уязвимости, не составляет большого труда.
В OVHcloud насчитали около 100 тыс. таких уязвимых устройств, которые могут быть использованы для запуска DDoS-атак. Учитывая, что это весьма мощные устройства с процессорами, насчитывающими 36 ядер, ботнет, включающий даже 1% из этих 100 тыс. роутеров, может генерировать 2,28 млрд пакетов в секунду.
По мнению экспертов OVHcloud, злоумышленники могли эксплуатировать функцию MikroTik RouterOS под названием Bandwidth Test («тестирование полосы пропускания»), предназначенную для стресс-тестирования сетей. С ее помощью можно сгенерировать бессодержательный, но очень объемный трафик.
Устройства MikroTik и прежде использовались для формирования мощных ботнетов: среди примеров – DDoS-сеть Mēris, выявленная в 2021 г. и отметившаяся мощной атакой на инфраструктуру «Яндекса».
Ленивый пользователь – угроза для оборудования
Производитель – компания MikroTik – неоднократно призывала пользователей своих устройств обновить программные оболочки на более безопасные, но, как правило, клиенты не особо торопятся этим заниматься, оставляя свое оборудование уязвимым на длительный срок.
«Роутеры станут более безопасным компонентом сетей, только если их производители реализуют принудительное распространение и автоматизированную установку обновлений, – полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Пока такие устройства находятся в основном на ручном управлении, и до их обслуживания у конечных пользователей слишком часто не доходит».
Эксперт добавил, что пренебрежение безопасностью высокопроизводительных роутеров гарантированно обеспечивает проблемы очень большому количеству пользователей, и не только тем, кто непосредственно является объектом атаки.