Российский IT-гигант "Яндекс" на прошлых выходных подвергся мощной DDoS-атаке. В четверг компания опубликовала первые результаты расследования, объявила атаку самой крупной в истории всего интернета и дала ботнету, который за ней стоит, название Mēris - от латышского "чума".
"Это лишь одна из множества атак, направленных не только на "Яндекс", но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник — новый ботнет, о котором пока мало что известно", — говорится в заявлении.
При этом, как отмечает The Bell, атака была рекордной только по одному параметру — числу запросов, которые атакующая сторона отправляла в секунду (DDoS-атаки также измеряют, например, в длительности, а еще, в зависимости от типа атаки, — в битах в секунду или пакетах в секунду). Этот показатель в ходе атаки на "Яндекс" превысил 21 млн, и это — самая большая цифра за историю интернета. Кибератака не повлияла на работу сервисов "Яндекса", но, по данным "Ведомостей", IT-гигант с трудом сумел сдержать ее. Количество зараженных устройств в сети, по оценке "Яндекса", достигает 250 000.
"В последние пару недель все мы стали свидетелями разрушительных DDoS-атак в Новой Зеландии, США и России", — сообщает "Яндекс". За всеми стоит одна и та же сеть, которой в "Яндексе" дали название — Mēris ("чума" по-латышски). Это объясняется тем, что ботнет объединяет высокопроизводительные сетевые устройства, а не типичные девайсы "интернета вещей", подключенные к сети Wi-Fi. При этом устройства, объединенные под единым командным центром, "похоже, относятся только к производителю Mikrotik", сообщает "Яндекс".
Mikrotik - латвийский производитель сетевого оборудования профессионального уровня. Представитель MikroTik заявил "Ведомостям", что в их собственной операционной системе RouterOS ранее была обнаружена уязвимость, но она была устранена в 2018 году. "Многие устройства все еще работают на старом ПО, но предупредить об этом каждого пользователя на планете сложно", – отметил представитель MikroTik. По его словам, компании неизвестно о каких-либо новых уязвимостях. RouterOS тщательно изучается независимыми аудиторскими компаниями.
"Если мы и правда видим старую уязвимость, все еще активную на десятках тысяч устройств, которые не обновляются, – это очень плохие новости, – пишет "Яндекс" в своем сообщении. – Однако данные Яндекса и Qrator Labs указывают, что это, скорее всего, не так. В ботнете мы видим множество версий RouterOS последних трех лет – вплоть до последней стабильной. Наибольшая доля приходится на предпоследнюю версию. Еще один достаточно очевидный момент – ботнет продолжает расти. (..) Вся ситуация больше указывает на то, что уязвимость либо хранилась в секрете до начала полномасштабной кампании, либо была продана на черном рынке".
Опрошенные The Bell эксперты считают, что атака на "Яндекс" была лишь демонстрацией силы, призванной прорекламировать ботнет для будущих коммерческих клиентов.
О создателях ботнета и их планах ничего не известно.
"В атаках использовалось оборудование, которое было взломано ещё в 2018 году, когда в программном обеспечении RouterOS была обнаружена
уязвимость. Проблема была быстро решена путем выпуска соответствующих
обновлений безопасности. С 2018 года таких уязвимостей больше не было.
К сожалению, полная безопасность также требует участия самих
пользователей. Если кому-то удалось заполучить ваши пароли в 2018 году, одни лишь обновления не помогут. Пользователь должен сменить свои пароли и убедиться, что брандмауэр работает должным образом, а такжевыяснить,не удалось ли злоумышленникам внести свои собственные изменения в конфигурацию.
Со своей стороны, мы приложили все усилия, чтобы проинформировать
каждого пользователя RouterOS о необходимых действиях, но многие
пользователи по-прежнему не реагируют на такую информацию и продолжают использовать старые версии программного обеспечения и простейшие пароли.
В настоящее время мы активно ищем решения, не нарушая при этом право
пользователей на неприкосновенность собственных устройств. Иными словами — мы не можем никого заставить поставить необходимые обновление или сменить пароль, но мы продолжаем искать лучшие способы, как донести эту информацию до каждого.
Следует отметить, что RouterOS тщательно оценивается не только
специалистами по безопасности нашей компании, но и независимыми
аудиторами. Мы ежедневно вкладываем много ресурсов в поиск потенциальных уязвимостей, и у нас нет никакого основания полагать, что в RouterOS присутствуют новые уязвимости.
Безопасность всегда была и остается одним из важнейших приоритетов
MikroTik", - подчеркнул представитель компании Виктор Смирнов.