KrebsOnSecurity поражен новым огромным IoT-ботнетом “Meris”

В четверг вечером сайт KrebsOnSecurity подвергся довольно массированной (и, к счастью, кратковременной) распределенной атаке типа “отказ в обслуживании” (DDoS). Атака исходила от “Мериса“, того же нового ботнета, который на этой неделе совершил рекордные атаки на российского поискового гиганта “Яндекс”, а летом этого года – на компанию Cloudflare.

Cloudflare недавно написала о своей атаке, которая достигла 17,2 миллиона фиктивных запросов в секунду. Для сравнения, Cloudflare обслуживает в среднем более 25 миллионов HTTP-запросов в секунду.

В своем отчете от 19 августа Cloudflare не назвала имя ботнета, стоявшего за атакой. Но в четверг компания Qrator Labs, занимающаяся защитой от DDoS-атак, определила виновника – “Meris” – новый монстр, впервые появившийся в конце июня 2021 года.

Qrator утверждает, что с тех пор Meris совершал еще более масштабные атаки: титаническая и непрекращающаяся DDoS-атака, поразившая российского поискового интернет-гиганта Яндекс на прошлой неделе, по оценкам, была запущена примерно 250 000 зараженных вредоносным ПО устройств по всему миру, которые отправляли 21,8 миллиона фиктивных запросов в секунду.

Хотя вчерашняя атака Meris на этот сайт была намного меньше недавней DDoS-атаки Cloudflare, она была намного больше DDoS-атаки Mirai в 2016 году, из-за которой сайт KrebsOnSecurity не работал почти четыре дня. Объем трафика, полученного в результате атаки на этот сайт в четверг, более чем в четыре раза превысил объем трафика, который Mirai обрушила на этот сайт пять лет назад. Эта последняя атака включала более двух миллионов запросов в секунду. Для сравнения, в 2016 году DDoS-атака Mirai генерировала около 450 000 запросов в секунду.

По данным компании Qrator, которая сотрудничает с “Яндексом” в борьбе с атакой, Meris, по-видимому, состоит из интернет-маршрутизаторов, произведенных компанией MikroTik. Qrator утверждает, что наибольшее количество маршрутизаторов MikroTik, потенциально уязвимых для атаки Meris, находится в США – более 42 процентов всех систем MikroTik в мире подключены к Интернету (за ними следует Китай – 18,9 процента – и длинный хвост стран с одним и двумя процентами).

Более темные области указывают на большую концентрацию потенциально уязвимых маршрутизаторов MikroTik. Qrator утверждает, что в настоящее время около 328 000 устройств MikroTik отвечают на запросы из Интернета. Изображение: Qrator.

Пока неясно, какие именно уязвимости безопасности привели к тому, что примерно 250 000 маршрутизаторов MikroTik были взломаны компанией Meris.

“Спектр версий RouterOS, которые мы видим в этой бот-сети, варьируется от многолетних до недавних”, – пишет компания. “Наибольшая доля принадлежит версии прошивки, предшествующей текущей стабильной”

Разбивка Qrator зараженных Meris устройств MikroTik по версиям операционной системы.

Вполне уместно, что Meris появился на свет в пятилетнюю годовщину появления Mirai, штамма ботнета для Интернета вещей (IoT), который был разработан, чтобы превзойти все другие штаммы IoT-ботнетов того времени. Mirai чрезвычайно успешно вытеснил конкурентов и быстро заразил десятки тысяч IoT-устройств десятков производителей.

Затем его соавторы решили слить исходный код Mirai, что привело к распространению десятков вариантов Mirai, многие из которых продолжают работать и сегодня.

Самый большой вклад в проблему IoT-ботнетов – множество компаний, наносящих белую маркировку на IoT-устройства, которые никогда не разрабатывались с учетом требований безопасности и часто поставляются заказчику в незащищенном состоянии по умолчанию – не претерпел значительных изменений, главным образом потому, что эти устройства, как правило, намного дешевле более безопасных альтернатив.

Хорошей новостью является то, что за последние пять лет крупные компании, занимающиеся инфраструктурой Интернета, такие как Akamai, Cloudflare и Google (который защищает этот сайт в рамках своей инициативы Project Shield), вложили значительные средства в повышение своей способности противостоять этим масштабным атакам [полное раскрытие информации: Akamai является рекламодателем на этом сайте].

Что еще более важно, интернет-сообщество в целом стало лучше объединять свои усилия для борьбы с DDoS-атаками, разрушая инфраструктуру, которой пользуются эти огромные ботнеты IoT, говорит Ричард Клейтон, директор Центра киберпреступности Кембриджского университета.

“Было бы справедливо сказать, что в настоящее время мы обеспокоены парой ботнетов, которые больше, чем мы видели в течение некоторого времени, – сказал Клейтон, – но в то же время никогда не знаешь, что они могут иссякнуть. Есть много людей, которые тратят свое время на то, чтобы убедиться, что эти вещи трудно поддерживать в стабильном состоянии. Так что есть люди, которые защищают всех нас”.

Оставьте комментарий