Спецпроекты

Безопасность Администратору Стратегия безопасности

НКЦКИ и «Ростелеком-солар» предотвратили попытку ботнета Meris захватить более 45 тыс. устройств

С помощью центра раннего выявления киберугроз JSOC CERT специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-солар» выявили и предотвратили попытку хакеров вовлечь в ботнет Meris более 45 тыс. новых устройств. По мнению экспертов, именно этот ботнет использовался при недавней DDoS-атаке на «Яндекс», которую называют крупнейшей за всю историю Рунета. Предположительный масштаб Meris – 200 тыс. устройств, таким образом, за счет новой атаки он мог увеличить мощности на 20%.

Благодаря сети ханипотов JSOC CERT специалисты «Ростелеком-солар» смогли получить и проанализировать команды, которые используются для управления зараженными устройствами. Выявленные в них ошибки позволили экспертам JSOC CERT обнаружить 45 тыс. сетевых устройств, идентифицировать их географическое местоположение и изолировать от ботнета.

«Оперативное взаимодействие с одним из ключевых центров ГосСОПКА позволило нам существенно снизить атакующий потенциал крупного ботнета, который мог использоваться для атак на объекты критической информационной инфраструктуры России или информационные ресурсы, освещающие важные общественно-политические мероприятия в стране», – отметили в НКЦКИ.

Предположительно ботнет Meris состоит преимущественно из оборудования MikroTik, которое широко применяется домашними пользователями для подключения к интернету. Некоторые версии прошивок MikroTik содержат критические уязвимости, эксплуатация которых позволяет хакерам захватывать контроль над устройствами и объединять их в сеть под управлением единого центра или нескольких центров. Такие ботнеты используются для проведения масштабных фишинговых, DDoS- и других кибератак. По данным, полученным «Ростелеком-солар», при атаке на устройства MikroTik злоумышленники пытаются эксплуатировать известные уязвимости, а также подбирать пароли доступа к роутерам.

Более 20% атакованных устройств находятся в Бразилии. В топ-5 географии присутствия данного сегмента Meris – Украина, Индонезия, Польша и Индия. Зараженные устройства из России составили менее 4% ботнета.

Эксперты JSOC CERT компании «Ростелеком-солар» передали список зараженных устройств в НКЦКИ, который оперативно проинформировал зарубежные государственные центры реагирования на кибератаки о наличии в их странах сегментов ботнета. Российские операторы связи, в инфраструктуре которых были выявлены зараженные узлы, также были оповещены об инциденте.

Дарья Лебедева

Короткая ссылка