A fine giugno, 2021, i ricercatori della sicurezza dell'azienda russa Qrator hanno iniziato a osservare "una botnet di un nuovo tipo". È seguita una ricerca congiunta con Yandex per scoprire di più su questa nuova minaccia DDoS "che emerge quasi in tempo reale".
Correlata: Emerge la nuova botnet Mirai, Attacco a dispositivi IoT vulnerabili
Meris Botnet: Nuova minaccia DDoS emergente
Un bel sostanzioso, forza d'attacco in costante crescita, come ha detto Qrator, è stato scoperto sotto forma di decine di migliaia di dispositivi host. La botnet è stata soprannominata Meris, che significa peste in lettone.
"Separatamente, Qrator Labs ha visto il 30 000 ospitare i dispositivi in numero effettivo attraverso diversi attacchi, e Yandex hanno raccolto i dati su 56 000 attaccare i padroni di casa,"secondo il rapporto ufficiale. Questo numero è molto probabilmente anche più alto, raggiungendo 200,000. È interessante notare che i dispositivi di questa botnet sono altamente capaci e non sono i dispositivi statisticamente medi collegati tramite Ethernet.
La nuova botnet Meris ha qualcosa a che fare con Mirai??
"Alcune persone e organizzazioni hanno già chiamato botnet “un ritorno di Mirai”, che non pensiamo sia esatto,"Qrator" noto. Dal momento che i ricercatori non hanno visto il codice dannoso dietro questa nuova botnet, non possono dire con certezza se sia in qualche modo correlato a Mirai. Tuttavia, poiché i dispositivi che unisce provengono da un solo produttore, Mikrotek, è più probabile che la botnet Meris non abbia nulla a che fare con Mirai.
Quali sono alcune specifiche della botnet Meris?
- Proxy Socks4 sul dispositivo interessato (non confermato, sebbene i dispositivi Mikrotik utilizzino calze4)
- Utilizzo del pipelining HTTP (http/1.1) tecnica per attacchi DDoS (confermato)
- Rendere gli attacchi DDoS stessi basati su RPS (confermato)
- Porta aperta 5678 (confermato)
Come vengono compromessi i dispositivi Mikrotik??
Il vulnerabilità utilizzate per sfruttare i dispositivi Mikrotik su così larga scala sono ancora da delineare. Tuttavia, secondo i clienti sul forum Mikrotik, ci sono stati tentativi di hacking su versioni precedenti di RouterOS, versione particolare 6.40.1 che risale a 2017. Se questo è confermato, "questa è una notizia orribile,"Qrator ha detto. Ciò nonostante, molto probabilmente non è vero, poiché la gamma di versioni di RouterOS utilizzate dalla botnet Meris varia da anni a quelle recenti. Il numero maggiore proviene dal firmware precedente a quello stabile attuale.
Dove sono stati osservati attacchi da botnet Meris??
Attacchi devastanti contro la Nuova Zelanda, gli Stati Uniti e la Russia sono stati osservati. I ricercatori avvertono che la botnet può “sopraffare” anche la rete più robusta, grazie alla sua enorme potenza RPS.
"È stato nelle notizie ultimamente su “il più grande attacco DDoS su Internet russo e Yandex”, ma noi di Yandex abbiamo visto un'immagine molto più grande di quella. Cloudflare ha registrato i primi attacchi di questo tipo. Il loro post sul blog di agosto 19, 2021, menzionato l'attacco che ha raggiunto 17 milioni di richieste al secondo. Abbiamo osservato durate e distribuzioni simili in tutti i paesi e abbiamo riportato queste informazioni a Cloudflare,” affermava il rapporto.
Mikrotik è stato contattato con informazioni sugli attacchi. In termini di mitigazione, la lista nera è ancora un'opzione, oltre a mantenere aggiornati i dispositivi.