Специалисты «Яндекса» отразили крупнейшую DDoS-атаку в истории интернета — более чем в 20 млн RPS, сообщила компания. О рекордных масштабах кибератаки на серверы «Яндекса» в минувшие выходные писали «Ведомости». Первой компанией, которая публично рассказала о масштабных атаках 19 августа, стала Cloudflare (17,2 млн RPS).
«Яндекс» проводит расследование инцидента совместно с Qrator Labs, специализирующейся на защите информационной инфраструктуры. Источником продолжающихся уже несколько недель атак на «Яндекс» и другие компании по всему миру специалисты называют новый ботнет Mēris. Главное из расследования:
- «Яндекс» установил, что для взаимодействия внутри сети используются обратные L2TP-туннели, а число зараженных устройств достигает 250 000. Ботнет состоит из высокопроизводительных девайсов, подключенных через Ethernet-соединение.
- По предварительным данным, ботнет не относится к семейству Mirai. Командный центр не обнаружен. Устройства связаны с латвийским производителем Mikrotik.
- Особенности Mēris: использование конвейерной обработки для организации DDoS-атак (подтверждено), атаки ориентированы на эксплуатацию RPS (подтверждено), открытый порт 5678 (подтверждено), SOCKS4-прокси на зараженном устройстве (не подтверждено).
- В ботнете специалисты обнаружили множество версий RouterOS последних трех лет. Наибольшая доля приходится на предпоследнюю версию.
- Mēris продолжает расти предположительно за счет техники брутфорса (перебора паролей). Эксперты оговариваются, что это не основная версия, а уязвимость могла быть засекречена до начала полномасштабной кампании или продана на черном рынке.
Атака на «Яндекс» не повлияла на его работу, а данные пользователей не пострадали, заявили в компании. Но, как уточнял источник «Ведомостей», «Яндекс» с трудом сдержал атаку, которая продолжалась в течение недели. «Яндекс» направил собранную информацию в профильные организации и Mikrotik.
С мощнейшей по интенсивности DDoS-атакой за 2019–2020 годы столкнулись и финансовые организации.