Российский интернет-гигант Яндекс стал объектом рекордной по интенсивности атаки типа «отказ в обслуживании» (DDoS) со стороны нового ботнета под названием Mēris.
Предполагается, что ботнет обрушил на веб-инфраструктуру компании миллионы HTTP-запросов, достигнув пика в 21,8 миллиона запросов в секунду (RPS), что превосходит недавнюю атаку ботнета, о которой стало известно в прошлом месяце, когда неназванный клиент Cloudflare из финансовой отрасли подвергся атаке интенсивностью в 17,2 миллиона RPS.
Российская служба противодействия DDoS-атакам Qrator Labs, которая раскрыла подробности атаки, назвала Mēris, что на латышском языке означает «Чума», «ботнетом нового типа».
«Очевидно, что этот конкретный ботнет продолжает расти. Есть предположение, что ботнет может расти за счет перебора паролей, хотя мы склонны пренебрегать этой возможностью. Это похоже на какую-то уязвимость, которая либо держалась в секрете до начала масштабной кампании, либо продавалась на черном рынке» - отметили исследователи, добавив, что Mēris «может перегрузить практически любую инфраструктуру, включая некоторые очень надежные сети благодаря своей огромной RPS-мощности».
DDoS-атаки использовали технику под названием HTTP pipelining, которая позволяет клиенту (т.е. веб-браузеру) открыть соединение с сервером и сделать несколько запросов, не дожидаясь каждого ответа. Вредоносный трафик исходил от более чем 250 000 зараженных узлов, в основном сетевых устройств Mikrotik, причем доказательства указывают на целый ряд версий RouterOS, которые были использованы в качестве оружия путем эксплуатации пока еще неизвестных уязвимостей.
В своем сообщении на форуме латвийский производитель сетевого оборудования заявил, что в атаках используется тот же набор маршрутизаторов, которые были взломаны с помощью уязвимости 2018 года (CVE-2018-14847, рейтинг CVSS: 9.1), которая с тех пор была исправлена, и что новых уязвимостей нулевого дня, затрагивающих эти устройства, не существует.
«К сожалению, закрытие уязвимости не обеспечивает немедленной защиты всех маршрутизаторов. Если кто-то получил ваш пароль в 2018 году - простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр - не разрешает ли он удаленный доступ неизвестным лицам, и искать скрипты, которые вы не создавали» - отмечается в сообщении.
Mēris также был связан с рядом других DDoS-атак, включая атаки, предотвращенные Cloudflare, отметив совпадения в «продолжительности и географической распределении».
Всем пользователям настоятельно рекомендуется обновить устройства MikroTik до последней версии прошивки для борьбы с возможными атаками ботнетов, организациям также рекомендуется изменить пароли администрирования для защиты от попыток перебора.
Источник: https://is-systems.org