Một mạng botnet chuyên tấn công DDoS với số lượng liên tục phát triển đã nhắm vào hãng tìm kiếm Yandex của Nga trong hơn một tháng vừa qua. Yandex còn được gọi là “Google Nga” và đỉnh điểm họ đã phải hứng chịu một cuộc tấn công với quy mô lên tới 21,8 triệu yêu cầu truy cập trên 1 giây.
Mạng botnet mới được đặt tên là Meris và nó bao gồm hàng chục nghìn thiết bị bị hacker kiểm soát. Các nhà nghiên cứu tin rằng hầu hết các thiết bị trong mạng botnet Meris là những phụ kiện mạng cấu hình cao.
Báo chí Nga mô tả cuộc tấn công của Meris vào Yandex là lớn nhất trong lịch sử của internet Nga (hay còn gọi là RuNet). Chi tiết về cuộc tấn công vừa được Yandex và đối tác chống DDoS của họ là Qrator Labs chia sẻ.
Theo thông tin thu thập được từ vài cuộc tấn công đơn lẻ, lực lượng của mạng botnet Meris lên tới hơn 30.000 thiết bị. Meris (Mēris) là một từ tiếng Latvia có nghĩa là tai họa.
Từ dữ liệu mà Yandex theo dõi, cuộc tấn công vào máy chủ của họ được tiến hành dựa trên khoảng 56.000 đầu mối. Tuy nhiên, các nhà nghiên cứu lại phát hiện ra những dấu hiệu cho thấy số lượng thiết bị mà những kẻ đứng sau Merit đang kiểm soát có thể lên tới gần 250.000.
Sự khác biệt giữa số lượng thiết bị dùng để tấn công và số thiết bị đang bị kiểm soát cho thấy Meris vẫn chưa sử dụng toàn bộ sức mạnh của nó. Bên cạnh đó, mạng botnet Meris không phải được tạo thành bởi các thiết bị IoT yếu đuối mà là những thiết bị mạng mạnh mẽ với kết nối Ethernet.
Cho đến nay Meris cũng là mạng botnet tạo ra cuộc tấn công có lưu lượng cao nhất mà Cloudflare ghi nhận và ngăn chặn. Cuộc tấn công ấy đạt đỉnh ở mức 17,2 triệu yêu cầu truy cập mỗi giây (RPS).
Tuy nhiên, kỷ lục ấy đã bị phá bởi chính Meris khi tấn công vào Yandex hôm 05/9 với mức lưu lượng 21,8 triệu RPS. Yandex phải hứng chịu nhiều cuộc tấn công trong vòng một tháng vừa rồi với cường độ tăng dần:
- Ngày 07/8: 5,2 triệu RPS
- Ngày 09/8: 6,5 triệu RPS
- Ngày 29/8: 9,6 triệu RPS
- Ngày 31/8: 10,9 triệu RPS
- Ngày 05/9: 21,8 triệu RPS
Theo các nhà nghiên cứu, để triển khai một cuộc tấn công, Meris dựa vào proxy SOCKS4 trên các thiết bị bị hack, sử dụng kỹ thuật DDoS kết nối HTTP và cổng 5678. Trong khi đó, các thiết bị mà Meris kiểm soát đều có liên quan đến MikroTik, nhà sản xuất thiết bị mạng của Latvia với khách hàng chủ yếu là các doanh nghiệp.
Hầu hết các thiết bị bị Meris kiểm soát đều mở cổng 2000 và 5678. Trong đó, MikroTik sử dụng công 5678 cho tính năng khám phá thiết bị lân cận (MikroTik Neighbor Discovery Protocol).
Khi tìm kiếm trên internet công cộng các nhà nghiên cứu phát hiện ra 328.000 máy chủ có TCP mở cổng 5678. Tuy nhiên, không phải tất cả trong số này đều là thiết bị của MikroTik. Hiện MikroTik đã dược thông báo về vấn đề này.
