В интернете тоже чума: таинственный ботнет Mris атакует крупные ресурсы. Рассказываем просто о сложном
Новости о том, что Яндекс подвергся небывалой по силе DDoS-атаке начали появляться еще в понедельник. Сегодня компания Qrator Labs, специализирующаяся на защите от DDoS-атак рассказала в своем блоге о том, что на самом деле происходит.
За атаками на Яндекс и другие крупные ресурсы по всему миру стоит бот-нет, получивший говорящее название Mēris, с латышского – «чума». Так что от вирусов страдает не только человечество, но и интерет.
Mēris – беспрецедентный по размеру и мощности ботнет, способный вывести из строя практически любой ресурс в Сети. Пока ни его создатели, них их цели не известны. Хотя понятно, что вряд ли они светлые.
Атаки ботнета Mēris начались еще в июне, однако эксперты Qrator Labs говорят, что мы не видели еще полной силы этой вредоносной машины. Они заметили 30 000 атакующих устройств, Яндекс собрал данные о 56 000, но, вероятно, что их в разы больше - от 200 000 устройств.
Лирическое отступление, какой-такой ботнет?
Что такое вообще ботнет? Это сеть устройств, подключенных в интернет, на которые установлена незаметная (для их владельца) программа, способная управлять действиями этого устройства в Сети.
Кто делает эти ботнеты? Достаточно «подкованный» программист создает код, который, будучи установленным на устройство, заполучает над ним контроль. Чем больше контролируемых устройств – тем лучше, «качественнее» ботнет. Незаметный вредоносный софт может быть установлен на тысячах и тысячах устройств.
Зачем вообще нужен ботнет? Избавиться от сайта конкурента, «накрутить» показатели сайта, шантажировать и т.д. Ничего хорошего.
Наиболее распространенное использование ботнета – для организации DDoS-атак (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»), смысл которых в том, чтобы перегрузить запросами веб-сайт и вызывать таким образом сбой в его работе. Как будто все те устройства, входящие в состав ботнета, направляемые создателями этого ботнета, решили разом зайти на какой-то веб-сайт, который не выдержал такой непривычной нагрузки и «лег».
Как стать частью ботнета (и не заметить)? Для владельца устройства, пополнившего ряды ботнета, все происходит незаметно – он то ли что-то не то открывает в почте, то ли устанавливает какое-то приложение из не очень проверенного источника…
Но компьютер/телефон ведет себя как надо, не сбоит, не выходит из строя. Просто теперь им управляет не только его основной владелец, но и тот, кто стоит за ботнетом. И пока основной «хозяин» спит или смотрит ролики на YouTube, его компьютер/телефон, повинуясь воле владельца ботнета, например, ежесекундно обращается к сайту Яндекса.
Очень важно! Заражены могут быть как пользовательские устройства – компьютеры и телефоны, так и сетевая инфраструктура, например, роутеры. К ним можно получить доступ подобрав пароль, найдя уязвимость в софте и т.д.
Чем так необычен (и опасен) Mēris?
Как раз тем, что он для атаки использует не зараженные пользовательские устройства, компьютеры или смартфоны, которые соединяются с интернетом слабенькими (относительно) каналами вроде домашнего/офисного Wi-Fi или мобильной сети. Заражена сетевая инфраструктура, которая обладает мощным промышленным Ethernet-соединением с Сетью и способная за счет своей мощности на гораздо более масштабные атаки, чем традиционные ботнеты.
Поэтому сравнение с Mirai, знаменитым ботнетом, собранным из устройств типа ip-видеокамер, домашних роутеры и т.д., эксперты из Qrator Labs все-таки считают некорректным. Хотя Mirai поражал сетевые устройства, они все-таки подключались к интернету по слабым пользовательским сетям. Хотя более точно можно будет судить, когда экспертам удастся добыть образец вредоносного кода Mēris.
Что точно известно, Mēris поражает печально известные сетевые устройства Mikrotik. Компания из Латвии, так что можно оценить юмор экспертов, давших имя ботнету именно на латышском языке. Mikrotik известен тем, что у их сетевой техники нет автообновления, что делает возможным присутствие в Сети техники с прошивками, относящейся к 2017 году и даже ранее. Чем старше программное обеспечение – тем больше вероятность, что хакеры уже обнаружили его слабые места и ими воспользовались. Поэтому так важно своевременно обновлять ПО.
Сетевые устройства, оставленные без какого-то внимания со стороны администратора (работает – и ладно), могут быть давно взломаны и работать как на своих основных хозяев, так и неких теневых «кукловодов». Qrator Labs отмечает также случаи взлома через банальный подбор паролей, которые часто либо очень простые, либо вообще оставлены установленные производителем по умолчанию.
Пользователь Хабр, экспериментально получивший доступ в сеть РЖД, сделал это именно через роутер Mikrotik, оставленный вообще без пароля.
А что в итоге
Истинный размер нового ботнета неизвестен и, вероятно, огромен – он может «положить» почти любую сетевую инфраструктуру в мире, включая защищенную от DDoS-атак.
Яндекс - не единственная его цель, атаки происходили также в Новой Зеландии и США.
Скорость атаки, зафиксированная в настоящий момент - 17 миллионов запросов в секунду. Для масштаба – посещаемость главной страницы Яндекса - около 80 миллионов человек В МЕСЯЦ.
Наибольшее количество атакующих устройств зафиксировано в Индии, Бразилии и Эквадоре.
ИТ-эксперты ищут решение этой проблемы, надеемся, у них это получится быстрее, чем с COVID-19.