10/09/21
Специалисты «Яндекса» и компании Qrator Labs поделились некоторыми подробностями о DDoS-атаке (более чем в 20 млн RPS), которой «Яндекс» подвергся в минувшие выходные. Атака не повлияла на работу сервисов интернет-гиганта, данные пользователей также не пострадали, заверили в компании.
Как отмечается, это лишь одна из многочисленных атак на компании по всему миру, за которыми стоит новый ботнет под названием Mēris (по-латышски «чума»). Признаки активности ботнета, предположительно состоящего из сетевых устройств, специалисты начали замечать в июне нынешнего года. По оценкам экспертов, в состав ботнета входит более 200 тыс. устройств, а для взаимодействия внутри сети используются обратные L2TP-туннели.
«У нас еще не было возможности изучить пример вредоносного кода, который используется для заражения новых устройств данного ботнета, и мы не готовы утверждать, относится он к семейству Mirai или нет. Пока считаем, что нет, поскольку устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik», - отметили специалисты.
Особенности ботнета Mēris:
- Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
- Атаки ориентированы на эксплуатацию RPS (подтверждено)
- Открытый порт 5678 (подтверждено)
- SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используют SOCKS4)
Эксперты пока не могут сказать точно, какие именно уязвимости эксплуатируются для компрометации устройств. Не исключено, что взлом осуществляется посредством брутфорса.
По данным «Яндекса» и Qrator Labs, множество устройств в ботнете используют новые версии RouterOS вплоть до последней стабильной. Отмечается, что наибольшая доля приходится на устройства с предпоследней версией прошивки.
