Как отмечается, это лишь одна из многочисленных атак на компании по всему миру, за которыми стоит новый ботнет под названием Mēris (по-латышски «чума»). Признаки активности ботнета, предположительно состоящего из сетевых устройств, специалисты начали замечать в июне нынешнего года. По оценкам экспертов, в состав ботнета входит более 200 тыс. устройств, а для взаимодействия внутри сети используются обратные L2TP-туннели.
«У нас еще не было возможности изучить пример вредоносного кода, который используется для заражения новых устройств данного ботнета, и мы не готовы утверждать, относится он к семейству Mirai или нет. Пока считаем, что нет, поскольку устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik», - отметили специалисты.
Особенности ботнета Mēris:
Эксперты пока не могут сказать точно, какие именно уязвимости эксплуатируются для компрометации устройств. Не исключено, что взлом осуществляется посредством брутфорса.
По данным «Яндекса» и Qrator Labs, множество устройств в ботнете используют новые версии RouterOS вплоть до последней стабильной. Отмечается, что наибольшая доля приходится на устройства с предпоследней версией прошивки.