На минувшей неделе компания Yandex сообщила о том, что подверглась мощнейшей DDoS-атаке. ЕЕ пиковые значения достигали 21,8 миллиона запросов в секунду, что делает атакой самой мощной в истории российского сегмента глобальной сети. Теперь представители Yandex и компании Qrator Labs, которая обеспечивает защиту ее инфраструктуры от DDoS-атак, поделились появились подробностями этого инцидента.

Первоначально предполагалось, что за атакой может стоять печально известный ботнет Mirai, объединяющий скомпрометированные устройства интернета вещей. Однако в действительности атака была организована с помощью другой бот-сети. Это новый ботнет, получивший название Mēris. С латышского языка это слово переводится как «чума», и бот-сеть объединяет скомпрометированные устройства от популярного латвийского производителя сетевого оборудования MikroTik. Ее атаки на инфраструктуру Yandex начались еще 7 августа, когда мощность составила 5,2 миллиона запросов в секунду. Рекордной мощности в 21,8 миллиона запросов в секунду они достигли 5 сентября.

По сведениям Yandex, в ходе этого пика атакующие задействовали порядка 56 тысяч устройств. При этом специалисты Qrator Labs полагают, что реальное число инфицированных устройств, входящих в ботнет Mēris, существенно выше и может достигать 250 тысяч, однако организаторы атаки не стремятся раскрывать все свои карты. Представители MikroTik сообщили, что их устройства могли быть скомпрометированы в результате эксплуатации уязвимости CVE-2018-14847 в прошивке роутеров. Она была исправлена производителем еще в апреле 2018 года, однако некоторые пользователи до сих пор не установили обновления. В то же время материалы Yandex и Qrator Labs свидетельствуют, что в атаке были задействованы и устройства использующие версию прошивки 6.48.4, которая является самой последней на данный момент.