Eind juni, 2021, beveiligingsonderzoekers van het Russische bedrijf Qrator begonnen met het observeren van "een botnet van een nieuw soort". Een gezamenlijk onderzoek met Yandex volgde om meer te ontdekken over deze nieuwe DDoS-dreiging die "in bijna realtime opduikt".
Verwant: Nieuw Mirai-botnet verschijnt, Kwetsbare IoT-apparaten aanvallen
Meris Botnet: Nieuwe opkomende DDoS-bedreiging
Een behoorlijk substantiële, constant groeiende aanvalskracht, zoals Qrator het uitdrukte, werd ontdekt in de vorm van tienduizenden hostapparaten. Het botnet heeft de naam Meris . gekregen, wat plaag betekent in het Lets.
"Afzonderlijk, QRator Labs zag de 30 000 host apparaten in werkelijke aantallen door middel van verschillende aanvallen, en Yandex verzamelden de gegevens over: 56 000 aanvallende gastheren,” volgens het officiële rapport. Dit aantal is waarschijnlijk nog hoger, bereiken 200,000. Het is opmerkelijk dat de apparaten van dit botnet zeer capabel zijn en niet de statistisch gemiddelde apparaten zijn die via Ethernet zijn aangesloten.
Heeft het nieuwe Meris-botnet iets te maken met Mirai?
“Sommige mensen en organisaties hebben het botnet al genoemd “een terugkeer van Mirai”, waarvan we denken dat het niet juist is,”Qrator bekend. Aangezien de onderzoekers de kwaadaardige code achter dit nieuwe botnet niet hebben gezien, ze kunnen niet met zekerheid zeggen of het op de een of andere manier gerelateerd is aan Mirai. Echter, omdat de apparaten die het samenbrengt, van slechts één fabrikant afkomstig zijn, Mikrotek, het is waarschijnlijker dat het Meris-botnet niets met Mirai . te maken heeft.
Wat zijn enkele specificaties van het Meris-botnet?
- Socks4-proxy op het getroffen apparaat (niet bevestigd, hoewel Mikrotik-apparaten sokken gebruiken)
- Gebruik van HTTP-pipelining (http/1.1) techniek voor DDoS-aanvallen (bevestigd)
- De DDoS-aanvallen zelf RPS-gebaseerd maken (bevestigd)
- Poort openen 5678 (bevestigd)
Hoe worden Mikrotik-apparaten gecompromitteerd??
Het kwetsbaarheden die worden gebruikt om Mikrotik-apparaten te misbruiken op zo'n grote schaal moeten nog worden geschetst. Echter, volgens klanten op het Mikrotik-forum, er zijn hackpogingen geweest op oudere RouterOS-versies, in het bijzonder versie 6.40.1 dat dateert uit 2017. Als dit wordt bevestigd, “Dit is verschrikkelijk nieuws,” zei Qrator. Niettemin, dit is hoogstwaarschijnlijk niet waar, aangezien het bereik van RouterOS-versies die door het Meris-botnet worden gebruikt, varieert van jaren oud tot recent. Het grootste aantal komt van firmware voorafgaand aan de huidige stabiele.
Waar zijn aanvallen van het Meris-botnet waargenomen??
Verwoestende aanvallen gericht op Nieuw-Zeeland, de Verenigde Staten en Rusland zijn waargenomen. De onderzoekers waarschuwen dat het botnet zelfs het meest robuuste netwerk kan 'overweldigen', vanwege het enorme RPS-vermogen.
“Het is de laatste tijd in het nieuws geweest over “grootste DDoS-aanval op Russisch internet en Yandex”, maar wij bij Yandex zagen een foto die veel groter was dan dat. Cloudflare registreerde de eerste aanvallen van dit type. Hun blogpost van augustus 19, 2021, vermeldde dat de aanval 17 miljoen verzoeken per seconde bereikte. We observeerden vergelijkbare looptijden en distributies in verschillende landen en rapporteerden deze informatie aan Cloudflare,"Het rapport vermeldde".
Er is contact opgenomen met Mikrotik met informatie over de aanslagen. In termen van mitigatie, zwarte lijst is nog steeds een optie, evenals het up-to-date houden van apparaten.