Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Источником DDoS-атаки на «Яндекс» оказался ботнет Mēris

10/09/21

hack66-Sep-10-2021-10-13-18-16-AMСпециалисты «Яндекса» и компании Qrator Labs поделились некоторыми подробностями о DDoS-атаке (более чем в 20 млн RPS), которой «Яндекс» подвергся в минувшие выходные. Атака не повлияла на работу сервисов интернет-гиганта, данные пользователей также не пострадали, заверили в компании.

Как отмечается, это лишь одна из многочисленных атак на компании по всему миру, за которыми стоит новый ботнет под названием Mēris (по-латышски «чума»). Признаки активности ботнета, предположительно состоящего из сетевых устройств, специалисты начали замечать в июне нынешнего года. По оценкам экспертов, в состав ботнета входит более 200 тыс. устройств, а для взаимодействия внутри сети используются обратные L2TP-туннели.

«У нас еще не было возможности изучить пример вредоносного кода, который используется для заражения новых устройств данного ботнета, и мы не готовы утверждать, относится он к семейству Mirai или нет. Пока считаем, что нет, поскольку устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik», - отметили специалисты.

Особенности ботнета Mēris:

  • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
  • Атаки ориентированы на эксплуатацию RPS (подтверждено)
  • Открытый порт 5678 (подтверждено)
  • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используют SOCKS4)

Эксперты пока не могут сказать точно, какие именно уязвимости эксплуатируются для компрометации устройств. Не исключено, что взлом осуществляется посредством брутфорса.

По данным «Яндекса» и Qrator Labs, множество устройств в ботнете используют новые версии RouterOS вплоть до последней стабильной. Отмечается, что наибольшая доля приходится на устройства с предпоследней версией прошивки.

Темы:ЯндексПреступленияDDoS-атакиботнет
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...