Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Источником DDoS-атаки на «Яндекс» оказался ботнет Mēris

10/09/21

hack66-Sep-10-2021-10-13-18-16-AMСпециалисты «Яндекса» и компании Qrator Labs поделились некоторыми подробностями о DDoS-атаке (более чем в 20 млн RPS), которой «Яндекс» подвергся в минувшие выходные. Атака не повлияла на работу сервисов интернет-гиганта, данные пользователей также не пострадали, заверили в компании.

Как отмечается, это лишь одна из многочисленных атак на компании по всему миру, за которыми стоит новый ботнет под названием Mēris (по-латышски «чума»). Признаки активности ботнета, предположительно состоящего из сетевых устройств, специалисты начали замечать в июне нынешнего года. По оценкам экспертов, в состав ботнета входит более 200 тыс. устройств, а для взаимодействия внутри сети используются обратные L2TP-туннели.

«У нас еще не было возможности изучить пример вредоносного кода, который используется для заражения новых устройств данного ботнета, и мы не готовы утверждать, относится он к семейству Mirai или нет. Пока считаем, что нет, поскольку устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik», - отметили специалисты.

Особенности ботнета Mēris:

  • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
  • Атаки ориентированы на эксплуатацию RPS (подтверждено)
  • Открытый порт 5678 (подтверждено)
  • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используют SOCKS4)

Эксперты пока не могут сказать точно, какие именно уязвимости эксплуатируются для компрометации устройств. Не исключено, что взлом осуществляется посредством брутфорса.

По данным «Яндекса» и Qrator Labs, множество устройств в ботнете используют новые версии RouterOS вплоть до последней стабильной. Отмечается, что наибольшая доля приходится на устройства с предпоследней версией прошивки.

Темы:ЯндексПреступленияDDoS-атакиботнет
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Зондирующие DDoS-атаки как новая стратегия
    В один из майских дней 2025 г. трафик на фронтенде обычного онлайн-сервиса неожиданно подскочил. Не катастрофически – лишь на считаные проценты. Появились всплески HTTP-запросов, чуть увеличилась задержка, возникли пара тревожных алертов о росте RPS. Потом все утихло. Обычная перегрузка? Фоновая активность? Или просто каприз трафика? Через неделю сервис лег, но уже не на минуту и не на десять: часы простоя, срыв SLA, гнев пользователей, экстренный брифинг с руководством. SOC с опозданием сопоставил события: перед атакой была "репетиция", но сигнал был слишком слабым, чтобы его услышали.
  • Как контроль конфигурации браузера помогает снизить ИБ-риски в корпоративной сети
    Дмитрий Мажарцев, директор по информационной безопасности Яндекс Браузера для организаций
    В современных организациях браузер превращается в одно из ключевых приложений – сотрудники решают в нем от 50% до 70% рабочих задач. Все чаще основное бизнес-ПО “переезжает” в веб.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...