Pull to refresh

Comments 54

И не только беспроводка. Услуги проводной связи тоже пострадали.

И не только в Москве, похоже.

Если бы! Как минимум ещё Краснодарский край и Астраханская область -- это то, с чем лично я столкнулся.

В распространённом письме написано "для Новосибирска". Я катаюсь по мск и области

и не только у Дом.ру, скорее всего.

Говорят, что в т.ч. был переименован SSID на хотспотах одного крупного банка (клиента ЭР-Телеком). Новое название говорило что-то о визуальной схожести одного главы государства с мужским половым органом

Интересно, за что заминусовали человека? За отсутствие подтверждения, за сообщение о факте или за эвфемистичное описание?

Кремлеботы, Сэр. Недавно же была утечка про обширный мониторинг некоторых "комбинаций слов"

Лично я -- за излишне эвфемистичное описание. "Одного крупного банка", ни одной ссылки на какой-либо источник без вот этих вот всех экивоков.

В нынешние времена, находясь в РФ, даже приводить ссылки чревато. Как и конкретные названия.

Вы пресс-релиз от банка ждете или от ЭР-Телекома? Уже представляю себе:
- Да, это наши хотспоты, на них вот такого-то прям вот так вот и назвали.

Комментарий выше - инфа от знакомых изнутри. И да, это именно то, что в самую первую скорейшую очередь и было исправлено, сами догадайтесь почему.

Микротики не умираю все разом )

Скорее всего имеет место взлом, потому что они их перенастраивают с netinstall.

1 вариант. Скорее всего в данной компании используется централизованное управление... тогда подломили и получили доступ к серверу mgm с валидным ip для управления, а пароли сам бог велел одинаковые ставить... + скриптов на серваке явно хватает, не ручками же 1000+ железок конфижыть. От туда и массовый забой железа.

2 вариант. Получили доступ до определенного компа(сервера) в нужном vlan, использовали старую уязвимость прошивки отснифаф сетку. Там такие динозавры на сети точно есть, а потом со отжатыми паролями пошли сеть долбить.

Вот только "Энфорта" это подразделение, если бы подломили сам DOM.RU мы бы точно узнали о падение магистральных линков между городами и т.д.

Это отделались малой кровью еще.

Кто то сидел на старой, уязвимой прошивке

Взломщики очевидно не знали или не настолько злые что бы использовать protected boot - настрой они его и нетинсталл бы не помог...

Использовали, netinstall помогает только в части случаев. Пишу с полей, в рюкзаке микротики:)

Хех, ну тогда ещё и на замену оборудки попадос.

Ну вот сейчас один сбросил, надо было держать ресет 3 минуты 47 секунд, тайминг везде разный)

А чем тайминги вычисляете? Или наощупь?

Наощупь, пока нашли 6-7 часто встречаемых.

Подскажи таиминги какие часто встречаются?

Поработаю TI: про свои "заслуги" в этой области пишет "IT-армия Украины", и судя по предоставленными данным я им склонен верить.

Выглядит так как будто эта новость может быть связана со вчерашней новостью про отражение рекордной DDoS атаки, ведь раньше в другом инциденте массовый взлом устройств Microtik уже использовался в этих целях. Вот тут про свежий инцидент: https://vc.ru/flood/608232-cloudflare-zablokirovala-rekordnuyu-ddos-ataku-na-71-million-zaprosov-v-sekundu

Микротик уходит из России громко хлопнув дверью?

Есть три момента в этой истории. Первое - намного проще получить доступ к сети изнутри, посредством трудоустройства "агента IT-армии UA".

Второе - если допустить вариант использования уязвимости - кто может гарантировать беспристрастность наших латвийских "друзей", которые могут "specially for Russia" вставить бэкдор? Как часто прошивки тестируются на безопасность?

Третье. Ок, я клевещу на честных латышей, супостат использовал старые уязвимости. Но давайте будем честными - как часто обновляют прошивки на оборудовании, которое исправно пашет годами "где-то там"?

И добавлю - по доброй традиции латыши выкатывая новое обновление обычно чинят что-то и для баланса обязательно ломают какой-нибудь работавший функционал. Поэтому обновление это еще и увлекательный поиск что же сломалось в этот раз.

А что им мешало ненавидеть нас и до этих событий?

есть небольшое упущение - какая ОС стояла? облако? обновили загрузчик?

Тем временем принтеры в офисной сети ЭРТХ печатают Украинские агитматериалы и издеваются над компетентностью администраторов сети😐

Даже так? Офисная сетка заражена, идут потихоньку дальше значит.

Это было с первого дня и сегодня ещё продолжалось.

Павел. хватит докладывать каждый шаг.

Как выяснилось, микротиками дело не ограничивается, полегла так же большая часть камбиумов и убикути...

Откуда такая уверенность в высказываниях? И это всё пишет чел которого пригласили 15.02, с комментариями только в этой ветке.

Уверенность от личного участия в устранении)

Может кто-то на заводские настройки решил сбросить? Там же обычный reboot есть

Сломали прошивки, нужно перезаливать. Кнопка резет вслучае с микротиками при этом работает в таймслоте 10 секунд рандомно расположенном на отрезке 0-10 минут🙂

А зачем резет, если есть консоль и возможность выпасть в RouterBOOT?

Заблокирован доступ с консоли

По телефону поддержка подтвердила, что это "хакеры".

Знаете, словами «ну я же говорил» этого не передать.

Я достаточно часто наталкивался на косяки и у Энфорты, и у Домру. В том числе видел старые версии RouterOS на оборудовании. В том числе видел явный бардак с VLAN-ами. Если не ошибаюсь, в каком-то из инцидентов клиентское оборудование случайно оказалось в менеджмент-VLAN... No comments.

Очень долго сообщал им о замеченном, пока не сделал вывод, что им пофиг. Стал сообщать только о том, что затрагивало клиентов и постепенно уводить этих самых клиентов из их сети. Конкретнее сказать, простите, не могу.

Не изучал схему слияния, но их объединённый брэнд называется Эр-Телеком, если что. Это можно услышать позвонив по какому-то из номеров поддержки.

Прошлой весной много украинских операторов так под ноль вычистили. И микротиками дело не обошлось, в скриптах была большая база оборудования. У кого бэкапы плохо продуманы были - долго восстанавливались.
Что-то обратка долго зрела...

"Для кого?" - Для "нас", сообщества на хабре. Я бы тоже почитал про взлом других операторов

Почитать и пруфы это немного разное

"Почитать с пруфами", думаю так лучше будет

Понимаю, желательно с геолокациями, ФИО и званиями, но это не ко мне.

Кроме Москвы, неполадки наблюдаются и в других регионах. Предлагали ехать в командировку в Москву, помогать коллегам. Но подумав, решил, ну его нафиг. Помимо самих Микротиков, взломаны и Камбиумы. Восстановление потихоньку идёт.

Вся россия под атакой, являюсь системным администратором одной из компаний, у нас 25 объектов по всей Российской у их, с Краснодара до Иркутска были отвалы. Больше похоже на то что где то ребята себя не защитили. И была найдена лазейка, если нужно могу запросить информацию об данном инциденте и сто скажут VIP клиентам. Но что то подсказывает мне что это будет очень сжатая информация

Уже месяц почти ровно, а до сих пор наблюдаются последствия. Дозвон на горячую линию занимает ощутимо дольше обычного, решение инцидентов в разы дольше обычного (и прописанного в договоре).

Sign up to leave a comment.

Other news