I slutningen af juni, 2021, sikkerhedsforskere fra det russiske firma Qrator begyndte at observere "et botnet af en ny art." En fælles forskning med Yandex fulgte for at opdage mere om denne nye DDoS-trussel "der dukker op i næsten realtid".
Relaterede: Nyt Mirai Botnet dukker op, Angreb på sårbare IoT-enheder
Meris Botnet: Ny fremvoksende DDoS -trussel
En temmelig stor, konstant voksende angrebskraft, som Qrator udtrykte det, blev afdækket i form af ti af tusinder af værtsenheder. Botnet er blevet døbt Meris, betyder pest på lettisk.
“Hver for sig, Qrator Labs så 30 000 vært enheder i faktiske tal gennem flere angreb, og Yandex indsamlede data om 56 000 angribende værter,”Ifølge den officielle rapport. Dette tal er sandsynligvis endnu højere, nå 200,000. Det er bemærkelsesværdigt, at dette botnets enheder er yderst dygtige og ikke er de statistisk gennemsnitlige enheder, der er forbundet via Ethernet.
Har det nye Meris botnet noget at gøre med Mirai?
”Nogle mennesker og organisationer kaldte allerede botnet “en tilbagevenden af Mirai”, som vi ikke synes er nøjagtige,”Qrator bemærkes. Da forskerne ikke har set den ondsindede kode bag dette nye botnet, de kan ikke med sikkerhed sige, om det på en eller anden måde er relateret til Mirai. Men, da enhederne det binder sammen kommer fra kun en producent, Mikrotek, det er mere sandsynligt, at Meris botnet ikke har noget at gøre med Mirai.
Hvad er nogle specifikationer for Meris botnet?
- Socks4 -proxy på den berørte enhed (ubekræftet, selvom Mikrotik -enheder bruger strømper4)
- Brug af HTTP pipelining (http/1.1) teknik til DDoS -angreb (bekræftet)
- At lave DDoS angriber sig selv RPS-baseret (bekræftet)
- Åben port 5678 (bekræftet)
Hvordan kompromitteres Mikrotik -enheder?
Den sårbarheder, der bruges til at udnytte Mikrotik -enheder i så stor skala skal endnu ikke skitseres. Men, ifølge kunder på Mikrotik forum, der har været hackingforsøg på ældre RouterOS -versioner, især version 6.40.1 der går tilbage til 2017. Hvis dette bekræftes, "Det er frygtelige nyheder,”Sagde Qrator. Ikke desto mindre, dette er højst sandsynligt ikke sandt, da sortimentet af RouterOS-versioner, der bruges af Meris botnet, varierer fra år gammel til nyere. Det største antal kommer fra firmware før den nuværende stabile.
Hvor er angreb fra Meris botnet blevet observeret?
Ødelæggende angreb rettet mod New Zealand, USA og Rusland er blevet observeret. Forskerne advarer om, at botnet kan "overvælde" selv det mest robuste netværk, på grund af dens enorme RPS -effekt.
»Det har været i nyhederne på det seneste om “største DDoS -angreb på russisk internet og Yandex”, men vi på Yandex så et billede meget større end det. Cloudflare registrerede de første angreb af denne type. Deres blogindlæg fra august 19, 2021, nævnte angrebet og nåede op på 17 millioner anmodninger i sekundet. Vi observerede lignende varigheder og distributioner på tværs af lande og rapporterede disse oplysninger til Cloudflare,”Stod der i rapporten.
Mikrotik er blevet kontaktet med oplysninger om angrebene. I form af afbødning, blacklisting er stadig en mulighed, samt at holde enheder opdaterede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: