Ende Juni, 2021, Sicherheitsforscher der russischen Firma Qrator begannen, „ein Botnetz einer neuen Art“ zu beobachten. Es folgte eine gemeinsame Recherche mit Yandex, um mehr über diese neue DDoS-Bedrohung zu erfahren, die „fast in Echtzeit auftaucht“..
verbunden: Neues Mirai Botnet entsteht, Anfällige IoT-Geräte angreifen
Meris Botnet: Neue aufkommende DDoS-Bedrohung
Ein ziemlich umfangreiches, ständig wachsende Angriffskraft, wie Qrator es ausdrückte, wurde in Form von Zehntausenden von Host-Geräten aufgedeckt. Das Botnet wurde Meris . genannt, was bedeutet Pest auf Lettisch.
"Separat, Qrator Labs sah die 30 000 Host-Geräte in tatsächlichen Zahlen durch mehrere Angriffe, und Yandex sammelte die Daten über 56 000 angreifende Gastgeber,“ laut offiziellem Bericht. Diese Zahl ist höchstwahrscheinlich noch höher, Erreichen 200,000. Bemerkenswert ist, dass die Geräte dieses Botnetzes sehr leistungsfähig sind und nicht die statistisch durchschnittlichen Geräte sind, die über Ethernet verbunden sind.
Hat das neue Meris-Botnet etwas mit Mirai . zu tun??
„Einige Leute und Organisationen haben das Botnet bereits genannt “eine Rückkehr von Mirai”, was wir nicht für richtig halten,”Qrator” bekannt. Da die Forscher den bösartigen Code hinter diesem neuen Botnet nicht gesehen haben, sie können nicht sicher sagen, ob es irgendwie mit Mirai . zusammenhängt. Jedoch, da die Geräte, die es zusammenfasst, nur von einem Hersteller stammen, Mikrotek, es ist wahrscheinlicher, dass das Meris-Botnet nichts mit Mirai . zu tun hat.
Was sind einige Spezifikationen des Meris-Botnetzes??
- Socks4-Proxy auf dem betroffenen Gerät (unbestätigt, obwohl Mikrotik-Geräte Socken verwenden4)
- Verwendung von HTTP-Pipelining (http/1.1) Technik für DDoS-Angriffe (bestätigt)
- DDoS-Angriffe selbst RPS-basiert machen (bestätigt)
- Offener Hafen 5678 (bestätigt)
Wie werden Mikrotik-Geräte kompromittiert?
Die Schwachstellen, die verwendet werden, um Mikrotik-Geräte auszunutzen in einem so großen Maßstab sind noch zu skizzieren. Jedoch, laut Kunden im Mikrotik-Forum, es gab Hacking-Versuche auf älteren RouterOS-Versionen, besonders Version 6.40.1 das geht zurück auf 2017. Wenn dies bestätigt wird, „Das sind schreckliche Neuigkeiten,“ sagte Qrator. Dennoch, das ist höchstwahrscheinlich nicht wahr, da die Bandbreite der RouterOS-Versionen, die vom Meris-Botnet verwendet werden, von mehreren Jahren bis zu neueren Versionen reicht. Die größte Zahl stammt von der Firmware vor der aktuellen Stable-Version.
Wo wurden Angriffe des Meris-Botnets beobachtet??
Verheerende Angriffe auf Neuseeland, die USA und Russland wurden beobachtet. Die Forscher warnen davor, dass das Botnet selbst das robusteste Netzwerk „überwältigen“ kann, aufgrund seiner enormen RPS-Power.
“Es war in den Nachrichten in letzter Zeit über “größter DDoS-Angriff auf russisches Internet und Yandex”, aber wir bei Yandex haben ein viel größeres Bild gesehen. Cloudflare hat die ersten Angriffe dieser Art aufgezeichnet. Ihr Blogbeitrag vom August 19, 2021, erwähnte, dass der Angriff 17 Millionen Anfragen pro Sekunde erreichte. Wir haben ähnliche Laufzeiten und Verteilungen in allen Ländern beobachtet und diese Informationen an Cloudflare gemeldet,“ heißt es im Bericht.
Mikrotik wurde mit Informationen über die Angriffe kontaktiert. In Bezug auf die Milderung, Blacklisting ist immer noch eine Option, sowie Geräte aktuell halten.