2021/09/09 17:00:35

Meris (ботнет)


Содержание

2021: «Яндекс» раскрыл детали «крупнейшей в истории» DDoS-атаки Mēris

9 сентября 2021 года «Яндекс» раскрыл детали DDoS-атаки, которую компания назвала «крупнейшей в истории». Сообщается, что кибернападение осуществлено с использованием нового ботнета Mēris («чума» по-латышски).

Как сообщается в блоге «Яндекса» на площадке «Хабр», признаки «новой атакующей силы в глобальной сети» «Яндекс» и Qrator Labs начали замечать в конце июня 2021 года. Обнаруженный ботнет уже тогда обладал значительными масштабами — десятки тысяч устройств, но их количество быстро растет и к 9 сентября 2021 года.

По данным «Яндекса», «полная сила ботнета не видна из-за ротации устройств и отсутствия у атакующих желания показывать всю имеющуюся мощность». Ситуация указывает на то, что «уязвимость либо хранилась в секрете до начала полномасштабной кампании, либо была продана на черном рынке».

«Яндекс» раскрыл подробности «крупнейшей в истории» DDoS-атаки Mēris

Мощность DDoS-атаки составила почти 22 млн RPS (количество запросов в секунду), что является рекордным значением — по крайней мере, о более крупных кибератаках неизвестно. Атака, при которой хакеры попытались забить сеть огромными объёмами данных для остановки её работы, началась в августе 2021 года. Рекорд был установлен через месяц. Компания приводит такие данные:

К особенностям ботнета Mēris «Яндекс» отнес следующее:

  • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено);
  • Атаки ориентированы на эксплуатацию RPS (подтверждено);
  • Открытый порт 5678 (подтверждено);
  • SOCKS4-прокси на зараженном устройстве (не подтверждено, но компания заявила о своей уверенности в том, что устройства Mikrotik используют SOCKS4).

В компании подсчитали, что Mēris состоит как минимум из 56 тысяч зараженных устройств, но предполагают, что их количество намного больше — более 200 тысяч устройств. По данным «Яндекса», ботнет использовался для крупных DDoS-атак в Новой Зеландии, США и России.[1]

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания