По информации Qrator Labs, ботнет Mēris 8 сентября атаковал инфраструктуру сервисов Хабра.
DDоS-атака на Хабр происходила в течение 90 секунд — с 15:29:30 по 15:31:00 мск. Она была отражена силами Qrator Labs так, что пользователи ресурса ничего не заметили. Даже представители Хабра узнали о ней уже постфактум.
В пике мощность атаки на Хабр достигала почти 367 тыс. RPS (запросов в секунду), судя по графику с усреднением по 30 секунд.
На графике с усреднением по 1 секунде пик атаки достигал 769 тыс. RPS в 15:29:44.В общем за все время атаки было выполнено 12 млн запросов со стороны хостов ботнета.
Пиковый трафик в время атаки был зафиксирован в 15:30 в размере 8,6 Гб/c.
Специалист Qrator Labs предположил, что максимальная мощность атаки могла достигнуть 3,5 млн RPS, исходя из того, сколько трафика было послано ботнетом.
Защитные механизмы Qrator после начала атаки заблокировали 20013 зараженных устройств, управляемых ботнетом. Большая часть их них была из Бразилии, Индонезии, Индии, Ирака, Украины, Бангладеш, России, Польши, США, Камбоджи, Колумбии и Китая.
Представитель Qrator Labs на Хабре (ximaera) подтвердил, что по телеметрии и косвенным признакам это была тестовая попытка DDoS-атаки на ресурс со стороны ботнета Mēris.
5 сентября «Яндекс» выдержал крупнейшую в истории рунета DDоS-атаку. Ее инициатором оказался ботнет нового типа Mēris, управляющий более 200 тыс. зараженными сетевыми устройствами, предположительно производителей Mikrotik и Linksys. В настоящее время происходит рост мощностей этого ботнета, в том числе за счет получения им доступа все к большему парку сетевых устройств.
В атаке на «Яндекс» мощность ботнета достигала почти 21,8 млн RPS (запросов в секунду). Это была крупнейшая в истории зарегистрированная атака на уровне приложения (L7 DDoS attack).
Представители Mikrotik опубликовали официальное заявление, относительно ботнета Mēris:
«Многие из вас спрашивают, что это за ботнет Mēris, о котором сейчас говорят новостные издания, и есть ли какая-то новая уязвимость в RouterOS.
Насколько нам известно, в этих атаках используются те же маршрутизаторы, которые были взломаны еще в 2018 году, когда в MikroTik RouterOS была найдена уязвимость, которая была быстро исправлена.
К сожалению, исправление уязвимости не сразу защитило маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр, чтобы он не разрешал удаленный доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.
Мы пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не вышли на связь с MikroTik и не следят за своими устройствами. Сейчас мы ищем другие решения.
Насколько нам известно, на данный момент в этих устройствах нет новых уязвимостей. Недавно RouterOS прошла независимый аудит, которые провели нескольких сторонних подрядчиков.
Если вы обнаружите устройство RouterOS с вредоносными скриптами или конфигурацией SOCKS, созданной не вами, особенно если эта конфигурация появилась только что, недавно, при работе с новой версией RouterOS: пожалуйста, немедленно свяжитесь с нами.
Если точнее, мы предлагаем отключить SOCKS и заглянуть в System -> Scheduler. Отключите все правила, которые вы не сумеете узнать. По умолчанию, в планировщике не должно быть правил, а SOCKS должен быть выключен».
