"Яндекс" обвиняет маршрутизаторы латвийской "Mikrotik" в распространении нового ботнета

"На днях в СМИ появилась информация о DDoS-атаке на Яндекс. Это правда, но не вся. Нашим специалистам действительно удалось отразить рекордную атаку более чем в 20 млн RPS — это самая крупная атака из известных за всю историю интернета. Но это лишь одна из множества атак, направленных не только на "Яндекс", но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник – новый ботнет, о котором пока мало что известно", говорится в блоге "Яндекс" на портале habr.com.

Вместе с коллегами из "Qrator Labs" мы хотим поделиться текущими результатами совместного расследования деятельности нового ботнета Mēris. Расследование еще продолжается, но мы считаем важным поделиться уже собранной информацией со всей индустрией, говорится в сообщении. Представители "Яндекс" заявили, что еще в конце июня 2021 года вместе с "Qrator Labs" начали замечать признаки новой атакующей силы в глобальной сети – ботнета нового типа. "Обнаруженный ботнет уже тогда обладал значительными масштабами – десятки тысяч устройств, но их количество быстро растет и сейчас. "Qrator Labs" наблюдали 30 000 хостов в отдельных атаках, мы в Яндексе собрали данные о 56 000 атакующих устройств. Но мы предполагаем, что истинное количество значительно больше – вероятно, более 200 000 устройств. Полная сила ботнета не видна из-за ротации устройств и отсутствия у атакующих желания показывать всю имеющуюся мощность. Более того, устройства в ботнете являются высокопроизводительными, а не типичными девайсами «интернета вещей», подключенными к сети Wi-Fi. С наибольшей вероятностью ботнет состоит из девайсов, подключенных через Ethernet-соединение, – в основном, сетевых устройств", отмечают в "Яндексе".

Специалисты "Яндекса" считают, устройства, объединенные под единым командным центром, похоже, относятся только к производителю Mikrotik (крупнейший производитель электроники в Латвии). "Это и есть причина, по которой мы хотели дать другое имя новому ботнету, работающему под еще не пойманным командным центром. Коллеги из Qrator Labs выбрали Mēris – по-латышски «чума». Такое название кажется уместным и относительно близким к Mirai по произношению", отмечают представители "Яндекс".

Вчера представители латвийской "Mikrotik" заявили, что проблемы, о которых упоминает российский "Яндекс" были обнаружены на устройствах выпуска 20178 года. Уже тогда "дыры" в маршрутизаторах были устранены, а для избежания проблем с оборудованием посоветовали почаще менять пароли. Особенно с 2018 года.

"На момент публикации этой статьи мы не знаем точно, какие именно уязвимости приводят к тому, что устройства "Mikrotik" подвергаются настолько крупномасштабному захвату. Несколько записей на форуме производителя указывают, что пользователи устройств Mikrotik с 2017 года замечали попытки взлома на старых версиях RouterOS, особенно 6.40.1. Если мы и правда видим старую уязвимость, все еще активную на десятках тысяч устройств, которые не обновляются, – это очень плохие новости. Однако данные "Яндекса" и "Qrator Labs" указывают, что это, скорее всего, не так. В ботнете мы видим множество версий RouterOS последних трех лет – вплоть до последней стабильной. Наибольшая доля приходится на предпоследнюю версию", отмечают в "Яндексе".

Еще один достаточно очевидный момент – ботнет продолжает расти. "Яндекс" предполагает, что уязвимость либо хранилась в секрете до начала полномасштабной кампании, либо была продана на черном рынке. "В наши задачи не входит исследование первопричин и поиск виновных – сосредоточимся на дальнейших наблюдениях. В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой Зеландии, США и России. Все эти атаки мы ассоциируем с ботнетом Mēris. В настоящий момент он может перегрузить практически любую сетевую инфраструктуру, включая некоторые сети высокой надежности, специально созданные, чтобы выдерживать подобную нагрузку. Главный признак ботнета – чудовищный показатель RPS. Cloudflare была первой компанией, которая публично рассказала об атаках подобного масштаба. В посте в блоге от 19 августа они упоминали об атаке, достигшей 17 млн запросов в секунду. Мы сообщили Cloudflare, что в сентябре наблюдали схожую картину по продолжительности и распределению стран-источников", отмечает "Яндекс".

Вчера нам удалось связаться с Mikrotik и предоставить им собранные данные. Кроме того, мы направили всю собранную информацию в профильные организации. Надеемся, что совместные усилия позволят интернету вскоре избавиться от пандемии этой «чумы, заключает "Яндекс".