Новый ботнет Mēris побил рекорд DDoS с атаками 21,8 млн RPS

26
Atlassian Trello не работает - второй сбой на этой неделе

Новый ботнет с распределенным отказом в обслуживании (DDoS), который продолжал расти в течение лета, в течение последнего месяца поражал российского интернет-гиганта «Яндекс», атака достигла пика с беспрецедентной скоростью 21,8 миллиона запросов в секунду.

Ботнет получил название Mēris, и он получает свою мощность от десятков тысяч взломанных устройств, которые, по мнению исследователей, в первую очередь являются мощным сетевым оборудованием.

Большой и мощный ботнет

Новости о массовой DDoS-атаке на Яндекс распространились на этой неделе в российских СМИ, которые описали ее как крупнейшую в истории российского Интернета, так называемого Рунета.

Подробности появились сегодня в совместном исследовании Яндекса и его партнера по предоставлению услуг защиты от DDoS-атак, Qrator Labs.

Информация, собранная отдельно от нескольких атак, развернутых новым ботнетом Mēris (латышское слово «чума»), показала, что поражающая сила составляет более 30 000 устройств.

По данным, полученным Яндексом, атаки на его серверы совершали около 56 000 атакующих хостов. Однако исследователи увидели признаки того, что количество взломанных устройств может быть ближе к 250 000.

Сотрудникам службы безопасности «Яндекса» удалось получить четкое представление о внутренней структуре ботнета. Туннели L2TP используются для межсетевого взаимодействия. Количество зараженных устройств, согласно внутреннему устройству ботнета, которое мы видели, достигает 250 000 » – Qrator Labs

Разница между атакующей силой и общим количеством зараженных хостов, образующих Mēris, объясняется тем фактом, что администраторы не хотят выставлять напоказ всю мощь своего ботнета, говорится в сегодняшнем сообщении Qrator Labs в блоге.

Исследователи отмечают, что скомпрометированные хосты в Mēris – это «не типичный блинкер Интернета вещей, подключенный к Wi-Fi», а высокопроизводительные устройства, которым требуется подключение к сети Ethernet.

Mēris – это тот же ботнет, который отвечает за генерирование наибольшего объема атакующего трафика, который Cloudflare зафиксировал и смягчил на сегодняшний день, поскольку его пик достиг 17,2 миллиона запросов в секунду (RPS).

Однако ботнет Mēris побил этот рекорд, поразив Яндекс, поскольку его поток 5 сентября достиг 21,8 миллиона запросов в секунду.

История атак ботнета на Яндекс начинается в начале августа с забастовки 5,2 миллиона запросов в секунду и продолжает расти:

  • 2021-08-07 – 5,2 миллиона RPS
  • 2021-08-09 – 6,5 млн RPS 
  • 2021-08-29 – 9,6 млн RPS
  • 2021-08-31 – 10,9 млн. RPS
  • 2021-09-05 – 21,8 млн. RPS

Технические данные указывают на устройства MikroTik

Исследователи говорят, что для развертывания атаки Мерис использует прокси-сервер SOCKS4 на взломанном устройстве, использует технологию DDoS с конвейерной обработкой HTTP и порт 5678.

Что касается скомпрометированных устройств, исследователи говорят, что они связаны с MikroTik, латвийским производителем сетевого оборудования для предприятий любого размера.

У большинства атакующих устройств были открытые порты 2000 и 5678. Последний указывает на оборудование MikroTik, которое использует его для функции обнаружения соседей (MikroTik Neighbor Discovery Protocol).

Qrator Labs обнаружила, что, хотя MikroTik предоставляет свои стандартные услуги через протокол пользовательских дейтаграмм (UDP), скомпрометированные устройства также имеют открытый протокол управления передачей (TCP).

Такая маскировка может быть одной из причин, по которой устройства были взломаны незамеченными их владельцами », – считают исследователи Qrator Labs.

При поиске в общедоступном Интернете открытого TCP-порта 5678 откликнулось более 328 000 хостов. Однако это не все устройства MikroTik, поскольку оборудование LinkSys также использует TCP на том же порту.

По словам исследователей, порт 2000 предназначен для «тестового сервера полосы пропускания». В открытом состоянии он отвечает на входящее соединение подписью, принадлежащей протоколу MikroTik RouterOS.

MikroTik был проинформирован об этих результатах. Производитель сообщил российскому изданию «Ведомости», что ему неизвестно о новой уязвимости для компрометации его продуктов.

Производитель сетевого оборудования также сообщил, что многие из его устройств продолжают использовать старую прошивку, уязвимую для массово эксплуатируемой проблемы безопасности, отслеживаемой как CVE-2018-14847 и исправленной в апреле 2018 года .

Однако диапазон версий RouterOS, которые Яндекс и Qrator Labs наблюдали при атаках ботнета Mēris, сильно различается и включает устройства с более новыми версиями прошивки, такими как текущая стабильная (6.48.4) и ее предшественница, 6.48.3.

 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here