21 февраля 2023 г.

В середине февраля «Коммерсант» скупой строкой сообщил, что абоненты телеком-оператора «Дом.ру» (входит в «ЭР-Телеком Холдинг») массово заявляют о неполадках в работе беспроводных сетей — причём как в Москве, так и в регионах. Эксперты «Хабра», включая анонимных инсайдеров якобы из самой компании, указали, что сбои по всей вероятности связаны с нарушением информационной безопасности маршрутизаторов — предположительно, популярной марки Mikrotik.

Что в очередной раз заставляет задаться вопросом: а так ли уж неподъёмны инвестиции в полное переоснащение ИТ-инфраструктур оборудованием отечественных брендов, если изделия прекративших работать в России зарубежных вендоров — в отсутствие официальной поддержки и сопровождения — априори более уязвимы к кибератакам?

Зажать и подержать

В упомянутом материала «Хабра» говорится о нештатной работе сетевого оборудования для корпоративных Wi-Fi, а также приводится текст неподтверждённого электронного письма провайдера (к корпоративным клиентам?) с описанием проблемы и принимаемых для её устранения мер. Причиной сбоя письмо за подписью «Дирекция по сервису климентов B2F» называет внешний взлом сети и признаёт, что случай этот — беспрецедентный за всю историю работы АО «ЭР-Телеком Холдинг».

Восстановительные работы, если верить этому тексту, пришлось вести как на базовых станциях, так и на клиентских точках подключения, для чего были задействованы все доступные сетевые инженеры. При этом необходимые для замены/перенастройки оконечного оборудования работы названы «физическими». Что это может означать — пояснил один из анонимных комментаторов материала: на взломанном маршрутизаторе Mikrotik для сброса настроек в заводское состояние приходится физически, пальцем держать кнопку Reset нажатой до десяти минут.

Скорее всего, злоумышленники получили доступ к одному или нескольким устройствам с давно не обновлявшейся прошивкой, для эксплуатации выявленных уязвимостей которой имеются эффективные программные инструменты. Результат — подправленные или полностью заменённые файлы конфигурации, а также с немалой вероятностью превращение маршрутизатора в зомби-устройство, включённое в огромную централизованно управляемую сеть, используемую для рассылки спама, для проведения DDoS-атак на отказ в обслуживании и для иной противоправной деятельности.

«Коммерсант» приводит отклик представителей «Дом.ру» на обсуждение ситуации «ВКонтакте»: «Никаких взломов не было. К сожалению, аварии чаще бывают механические». Тем не менее, комментируя произошедший сбой в «Телеграме», энтузиасты импортозамещения логично советуют ради недопущения подобных инцидентов в дальнейшем применять оборудование российских вендоров.

Тут уже не слишком важна марка данного конкретного маршрутизатора и то, по какой причине он вышел из строя — из-за взлома или вследствие «механической аварии», что бы конкретно это ни значило. Если производитель гаджета официально ушёл из России (пусть даже и продолжает тихой сапой вести здесь дела, закрывая глаза на параллельный импорт), трудно требовать и даже ожидать от него своевременного обновления прошивок с устранением выявленных уязвимостей. Отечественному поставщику по крайней мере можно предъявить юридическую претензию, — а как надавить на того, кого здесь по сути и нет?

Практически сразу после начала СВО латвийская компания SIA Mikrotikls уведомила российских дистрибьюторов о прекращении поставок своей продукции в Российскую Федерацию. Сразу вслед за этим у всех официальных тренеров MikroTik в РФ было приостановлено действие тренерских сертификатов — на чём, собственно, официальная поддержка устройств данного вендора в нашей стране завершилась.

Уходя — уходи

Понятно, что обходные пути для поставок оборудования нашлись практические сразу — и через Казахстан, и через Эстонию, — но сами же организаторы этих путей прямо предупреждают потенциальных покупателей: «Имеет смысл апгрейды все отключить». И это ясно, почему: сложное устройство не может не отправлять свои данные на сервер вендора, запрашивая обновление прошивки, а по этим данным вычислить его географическое позиционирование — дело секундное.

А без обновления прошивок современный маршрутизатор с достаточно мощной и функциональной операционкой на борту слишком быстро, увы, превращается в потенциальную жертву киберзлоумышленников. Программы пишут люди (хотя, возможно, вскоре им в этом будет активно помогать ИИ), и даже в самом тщательно выверенном коде просто вследствие его огромного объёма неизбежно встречаются ошибки. Хуже того, обновления, что призваны закрыть выявленные уязвимости, частенько сами порождают новые бреши в контуре информационной безопасности — о чём авторитетно может судить каждый, кто замечал, как часто приходится перезагружать собственный ПК для установки очередного критически важного обновления.

Сведения об уязвимостях операционной системы RouterOS маршрутизаторов MikroTik регулярно появляются в банке данных угроз безопасности информации ФСТЭК, да и на глобальном уровне этот бренд известен не только как «Cisco для бедных» (в позитивном смысле: имеется в виду реализация на уровне RouterOS широчайшей функциональности за вполне бюджетные деньги), но и как поставщик едва ли не приоритетного для кибервзломщиков сетевого оборудования. Собственно, повышенная уязвимость сложной системы — неотъемлемая обратная сторона её обширных возможностей.

В конце 2021 г. эксперты из ИБ-компании Eclypsium в ходе не самого глубокого сканирования Интернета сходу обнаружили около 300 тыс. маршрутизаторов MikroTik с непропатченными уязвимостями, готовых пасть жертвой не то что мало-мальски умелого хакера, но и автоматического «зомбирующего» скрипта. В марте же 2022-го отчёт Avast засвидетельствовал, что мощный ботнет (сеть взломанных и переподчинённых злоумышленникам устройств с доступом в Интернет), ответственный за различную противоправную деятельность, включая распространение вредоносного ПО и майнинг криптовалют, контролировал около 230 тыс. маршрутизаторов MikroTik.

Действительно, RouterOS — весьма специфическая система, необходимая исключительно для расширенных задач (как раз уровня Интернет-провайдера), которые невозможно решить рядовыми маршрутизаторами, а на ту же Cisco банально нет средств. Однако тем более нет никакого резона пользоваться ею теперь, когда официально и поставки, и обучение специалистов вендор в России прекратил. Так что покупайте наших слонов — в смысле, изучайте доступные на рынке модели российских брендов и деятельно рекомендуйте их заказчикам, чтобы у них возникало как можно меньше «механических аварий».

Да, с сетевым оборудованием операторского класса у отечественных вендоров пока не всё гладко, но уже несколько компаний работают над этим. И чем выше будет спрос на их продукцию, тем больше средств они смогут направлять на НИОКР, ещё более совершенствуя свои маршрутизаторы. И полнее закрывая тем самым потребности клиентов, для которых надёжная обратная связь с поставщиком становится в нынешних условиях определённо важнее широты возможностей оборудования, официально более в Россию не поставляемого и здесь не поддерживаемого.

Источник: IT Channel News, Максим Белоус