Le botnet Meris bat le record de DDoS avec une attaque de 21,8 millions de RPS

0

Un nouveau botnet de déni de service distribué (DDoS) nommé Meris a continué de croître au cours de l’été et a martelé le géant de l’Internet russe Yandex au cours du mois dernier, l’attaque culminant au taux sans précédent de 21,8 millions de requêtes par seconde.

Le botnet tire sa puissance de dizaines de milliers d’appareils compromis que les chercheurs pensent être principalement des équipements de réseau puissants.

Un botnet large et puissant

La nouvelle d’une attaque DDoS massive frappant Yandex a éclaté la semaine dernière dans les médias russes, qui l’ont décrite comme la plus importante de l’histoire de l’Internet russe, le soi-disant RuNet.

Des détails ont émergé dans une recherche conjointe de Yandex et de son partenaire dans la fourniture de services de protection DDoS, Qrator Labs.

Les informations recueillies séparément à partir de plusieurs attaques déployées par le nouveau botnet Meris (letton pour « peste ») ont montré une force de frappe de plus de 30 000 appareils.

D’après les données observées par Yandex, les attaques contre ses serveurs reposaient sur environ 56 000 hôtes attaquants. Cependant, les chercheurs ont vu des indications selon lesquelles le nombre d’appareils compromis pourrait être plus proche de 250 000.

« Les membres de l’équipe de sécurité de Yandex ont réussi à établir une vision claire de la structure interne du botnet. Les tunnels L2TP sont utilisés pour les communications inter-réseaux. Le nombre d’appareils infectés, selon les internes de botnet que nous avons vus, atteint 250 000″ – Qrator Labs

La différence entre la force d’attaque et le nombre total d’hôtes infectés formant Meris s’explique par le fait que les administrateurs ne veulent pas faire étalage de toute la puissance de leur botnet, déclare Qrator Labs dans un article de blog.

Les chercheurs notent que les hôtes compromis dans Meris ne sont « pas votre clignotant IoT typique connecté au WiFi », mais des appareils hautement performants qui nécessitent une connexion Ethernet.

Meris est le même botnet responsable de la génération du plus grand volume de trafic d’attaque que Cloudflare a enregistré et atténué à ce jour, puisqu’il a culminé à 17,2 millions de requêtes par seconde (RPS).

Cependant, le botnet Meris a battu ce record en frappant Yandex, car son flux le 5 septembre a atteint une force de 21,8 millions de RPS.

meris botnet yandex
source: Qrator Labs

L’histoire des attaques du botnet contre Yandex commence début août avec une attaque de 5,2 millions de RPS et n’a cessé de s’intensifier:

  • 07-08-2021 – 5,2 millions de RPS
  • 09-08-2021 – 6,5 millions de RPS
  • 29-08-2021 – 9,6 millions de RPS
  • 31-08-2021 – 10,9 millions de RPS
  • 05-09-2021 – 21,8 millions de RPS

Les données techniques renvoient aux appareils MikroTik

Pour déployer une attaque, les chercheurs disent que Meris s’appuie sur le proxy SOCKS4 sur l’appareil compromis, utilise la technique DDoS du pipelining HTTP et le port 5678.

Quant aux appareils compromis utilisés, les chercheurs disent qu’ils sont liés à MikroTik, le fabricant letton d’équipements réseau pour les entreprises de toutes tailles.

La plupart des appareils attaquants avaient des ports ouverts 2000 et 5678. Ce dernier pointe vers l’équipement MikroTik, qui l’utilise pour la fonction de découverte de voisins (MikroTik Neighbor Discovery Protocol).

Qrator Labs a découvert que si MikroTik fournit son service standard via le protocole de datagramme utilisateur (UDP), les appareils compromis ont également un protocole de contrôle de transmission (TCP) ouvert.

Ce type de déguisement pourrait être l’une des raisons pour lesquelles les appareils ont été piratés à l’insu de leurs propriétaires », estiment les chercheurs de Qrator Labs.

Lors de la recherche sur Internet public du port TCP 5678 ouvert, plus de 328 000 hôtes ont répondu. Le nombre ne concerne pas tous les appareils MikroTik, car l’équipement LinkSys utilise également TCP sur le même port.

qrator labs
source: Qrator Labs

Le port 2000 est destiné au « serveur de test de bande passante », disent les chercheurs. Lorsqu’il est ouvert, il répond à la connexion entrante avec une signature qui appartient au protocole RouterOS de MikroTik.

MikroTik a été informé de ces découvertes. Le fournisseur a déclaré à la publication russe Vedomosti qu’il n’était pas au courant d’une nouvelle vulnérabilité susceptible de compromettre ses produits.

Le fabricant d’équipements réseau a également déclaré que bon nombre de ses appareils continuent d’exécuter d’anciens micrologiciels, vulnérables à un problème de sécurité massivement exploité, identifié comme CVE-2018-14847 et corrigé en avril 2018.

Cependant, la gamme de versions de RouterOS observées par Yandex et Qrator Labs dans les attaques du botnet Meris varie considérablement et comprend des appareils exécutant des versions de firmware plus récentes, telles que la version stable actuelle (6.48.4) et son prédécesseur, 6.48.3.

Meris
source: Qrator Labs
Laisser un commentaire