«Яндекс» проводит расследование инцидента совместно с Qrator Labs, специализирующейся на защите информационной инфраструктуры. Источником продолжающихся уже несколько недель атак на «Яндекс» и другие компании по всему миру специалисты называют новый ботнет Mēris. Главное из расследования:

• «Яндекс» установил, что для взаимодействия внутри сети используются обратные L2TP-туннели, а число зараженных устройств достигает 250 000. Ботнет состоит из высокопроизводительных девайсов, подключенных через Ethernet-соединение.
• По предварительным данным, ботнет не относится к семейству Mirai. Командный центр не обнаружен. Устройства связаны с латвийским производителем Mikrotik.
• Особенности Mēris: использование конвейерной обработки для организации DDoS-атак (подтверждено), атаки ориентированы на эксплуатацию RPS (подтверждено), открытый порт 5678 (подтверждено), SOCKS4-прокси на зараженном устройстве (не подтверждено).
• В ботнете специалисты обнаружили множество версий RouterOS последних трех лет. Наибольшая доля приходится на предпоследнюю версию.
• Mēris продолжает расти предположительно за счет техники брутфорса (перебора паролей). Эксперты оговариваются, что это не основная версия, а уязвимость могла быть засекречена до начала полномасштабной кампании или продана на черном рынке.

Атака на «Яндекс» не повлияла на его работу, а данные пользователей не пострадали, заявили в компании. Но, как уточнял источник «Ведомостей», «Яндекс» с трудом сдержал атаку, которая продолжалась в течение недели. «Яндекс» направил собранную информацию в профильные организации и Mikrotik.

С мощнейшей по интенсивности DDoS-атакой за 2019–2020 годы столкнулись и финансовые организации.