Fin juin, 2021, des chercheurs en sécurité de la société russe Qrator ont commencé à observer « un botnet d'un nouveau genre ». Une recherche conjointe avec Yandex a suivi pour en savoir plus sur cette nouvelle menace DDoS « émergeant en temps quasi réel ».
en relation: Un nouveau botnet Mirai émerge, Attaquer les appareils IoT vulnérables
Botnet Meris: Nouvelle menace DDoS émergente
Un assez substantiel, force d'attaque en constante augmentation, comme le dit Qrator, a été découvert sous la forme de dizaines de milliers de périphériques hôtes. Le botnet a été surnommé Meris, qui signifie peste en letton.
"Séparément, Qrator Labs a vu le 30 000 appareils hôtes en nombre réel à travers plusieurs attaques, et Yandex ont collecté les données sur 56 000 attaquer les hôtes,» selon le rapport officiel. Ce nombre est probablement encore plus élevé, atteindre 200,000. Il est à noter que les appareils de ce botnet sont très performants et ne sont pas les appareils statistiquement moyens connectés via Ethernet.
Le nouveau botnet Meris a-t-il quelque chose à voir avec Mirai?
« Certaines personnes et organisations ont déjà appelé le botnet “un retour de Mirai”, que nous ne pensons pas être exact,"Qrateur c'est noté. Puisque les chercheurs n'ont pas vu le code malveillant derrière ce nouveau botnet, ils ne peuvent pas dire avec certitude si c'est en quelque sorte lié à Mirai. Cependant, puisque les appareils qu'il regroupe proviennent d'un seul fabricant, Mikrotek, il est plus probable que le botnet Meris n'a rien à voir avec Mirai.
Quelles sont les spécifications du botnet Meris?
- Proxy Socks4 sur l'appareil concerné (non confirmé, bien que les appareils Mikrotik utilisent des chaussettes4)
- Utilisation du pipeline HTTP (http/1.1) technique pour les attaques DDoS (confirmé)
- Rendre les attaques DDoS elles-mêmes basées sur RPS (confirmé)
- Port ouvert 5678 (confirmé)
Comment les appareils Mikrotik sont-ils compromis?
La vulnérabilités utilisées pour exploiter les appareils Mikrotik à une si grande échelle restent à définir. Cependant, selon les clients sur le forum Mikrotik, il y a eu des tentatives de piratage sur les anciennes versions de RouterOS, en particulier la version 6.40.1 qui remonte à 2017. Si cela est confirmé, "c'est une horrible nouvelle,» a déclaré Qrator. Cependant, ce n'est probablement pas vrai, car la gamme de versions de RouterOS utilisées par le botnet Meris varie d'anciennes à récentes. Le plus grand nombre provient du firmware antérieur au Stable actuel.
Où les attaques du botnet Meris ont-elles été observées?
Attaques dévastatrices ciblant la Nouvelle-Zélande, les États-Unis et la Russie ont été observés. Les chercheurs avertissent que le botnet peut « submerger » même le réseau le plus robuste, en raison de son énorme puissance RPS.
« Ces derniers temps, on a parlé de “plus grande attaque DDoS sur Internet russe et Yandex”, mais chez Yandex, nous avons vu une image beaucoup plus grande que cela. Cloudflare a enregistré les premières attaques de ce type. Leur article de blog du mois d'août 19, 2021, mentionné l'attaque atteignant 17 millions de requêtes par seconde. Nous avons observé des durées et des distributions similaires à travers les pays et avons signalé ces informations à Cloudflare,” le rapport a déclaré.
Mikrotik a été contacté avec des informations sur les attaques. En termes d'atténuation, la liste noire est toujours une option, ainsi que de maintenir les appareils à jour.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: