Ένα νέο botnet που αποτελείται από περίπου 250.000 μολυσμένες συσκευές βρίσκεται πίσω από μερικές από τις μεγαλύτερες επιθέσεις DDoS που πραγματοποιήθηκαν το καλοκαίρι, σπάζοντας το ρεκόρ για τη μεγαλύτερη ογκομετρική επίθεση DDoS δύο φορές, μία τον Ιούνιο και άλλη μια ξανά αυτόν τον μήνα.
Το botnet ονομάζεται Mēris, η λετονική λέξη “πανούκλα”, και χρησιμοποιείται κυρίως για εκβιασμό DDoS σε παρόχους υπηρεσιών διαδικτύου και χρηματοπιστωτικών εταιρειών σε διάφορες χώρες, όπως τη Ρωσία, το Ηνωμένο Βασίλειο, τις ΗΠΑ και τη Νέα Ζηλανδία.
Η ομάδα πίσω από το botnet στέλνει συνήθως απειλητικά email σε μεγάλες εταιρείες και ζητούν την πληρωμή λύτρων. Τα email στοχεύουν εταιρείες με εκτεταμένη διαδικτυακή υποδομή και περιέχουν απειλές για downtime σημαντικών διακομιστών, εάν δεν πληρώσουν ένα ποσό ψηφιακών νομισμάτων μέχρι μια ορισμένη προθεσμία.
Εάν τα θύματα δεν πληρώσουν, οι hackers εξαπολύουν το botnet τους με μικρότερες επιθέσεις στην αρχή που αυξάνονται σημαντικά σε μέγεθος αργότερα, προκειμένου να ασκήσουν μεγαλύτερη πίεση.
Η Qrator Labs, μια ρωσική υπηρεσία μετριασμού DDoS, περιέγραψε το Meris σαν “ένα νέο botnet”, μετά από μια σειρά επιθέσεων εναντίον Ρώσικων εταιρειών.
“Τις τελευταίες δύο εβδομάδες, είδαμε καταστροφικές επιθέσεις προς τη Νέα Ζηλανδία, τις Ηνωμένες Πολιτείες και τη Ρωσία, τις οποίες αποδίδουμε σε αυτό το botnet”, αναφέρουν οι ερευνητές της εταιρείας.
“Το Meris μπορεί να κατακλύσει σχεδόν οποιαδήποτε υποδομή, συμπεριλαμβανομένων ορισμένων πολύ ισχυρών δικτύων. Όλα αυτά οφείλονται στην τεράστια ισχύ RPS που διαθέτει”, συνεχίζει η εταιρεία, όπου το RPS αντιπροσωπεύει αιτήματα ανά δευτερόλεπτο, έναν από τους δύο τρόπους μέτρησης του μεγέθους των επιθέσεων DDoS (ο άλλος είναι τα Gbps, gigabytes ανά δευτερόλεπτο).
Ο λόγος για τον οποίο η Qrator Labs αποκαλεί το Meris μοναδικό είναι ότι πριν από αυτό το καλοκαίρι, οι περισσότερες επιθέσεις DDoS με RPS ήταν πολύ σπάνιες και δεν είχαν εμφανιστεί σε αυτήν την κλίμακα τα τελευταία πέντε χρόνια.
Τα περισσότερα botnets είναι συνήθως ρυθμισμένα να στέλνουν όσο το δυνατόν περισσότερη ανεπιθύμητη κίνηση σε έναν στόχο σε κλασικές “επιθέσεις εύρους ζώνης”, οι οποίες μετρώνται σε Gbps.
Οι επιθέσεις RPS που ονομάζονται ογκομετρικές ή application-layer DDoS attacks, είναι διαφορετικές επειδή οι επιτιθέμενοι εστιάζουν στην αποστολή αιτημάτων στον διακομιστή-στόχο για να κατακλύσουν την CPU και τη μνήμη του.
Αντί να χτυπήσουν το εύρος ζώνης (bandwidth) με ανεπιθύμητη κυκλοφορία, οι ογκομετρικές επιθέσεις επικεντρώνονται στην κατάληψη των πόρων των διακομιστών και τελικά την συντριβή τους.
“Τα τελευταία πέντε χρόνια, ουσιαστικά δεν υπήρξαν σχεδόν καθόλου επιθέσεις application-layer σε παγκόσμια κλίμακα”, αναφέρει η Qrator.
Τα πράγματα άλλαξαν αυτό το καλοκαίρι με την εμφάνιση του Meris, το οποίο βασίζεται σε μια τροποποιημένη έκδοση του παλιού κακόβουλου λογισμικού Mirai DDoS, σύμφωνα με την εταιρεία υποδομής διαδικτύου Cloudflare, η οποία έπρεπε επίσης να αντιμετωπίσει μερικές από τις επιθέσεις του.
Αντί όμως να επικεντρωθεί σε επιθέσεις εύρους ζώνης, όπως οι περισσότερες παραλλαγές του Mirai, το Meris επικεντρώεται σε ογκομετρικές επιθέσεις, προφανώς, γιατί τις βρίσκουν αποδοτικότερες.
Το Meris έσπασε το ρεκόρ για τη μεγαλύτερη ογκομετρική επίθεση DDoS δύο φορές. Το έκανε για πρώτη φορά νωρίτερα αυτό το καλοκαίρι, τον Ιούνιο, όταν με μια επίθεση 17,2 εκατομμυρίων RPS DDoS έπληξε μια αμερικανική χρηματοπιστωτική εταιρεία, σύμφωνα με την Cloudflare, η οποία είχε το δυσάρεστο καθήκον να μετριάσει τη συγκεκριμένη επίθεση.
Σήμερα, η Qrator Labs ανέφερε ότι το Meris ξεπέρασε ξανά τον εαυτό του κατά τη διάρκεια μιας επίθεσης που πραγματοποιήθηκε αυτήν την Κυριακή, 5 Σεπτεμβρίου, η οποία έφτασε τα 21,8 εκατομμύρια RPS.
Η Qrator ανέφερε ότι συνεργάστηκε με την Yandex για να μετριάσει την επίθεση, η οποία προφανώς χτυπούσε τους διακομιστές της Yandex. Στόχος της επίθεσης ήταν όμως μια Ρώσικη τράπεζα που διατηρούσε την πύλη e-banking της υπηρεσίας σε cloud της Yandex.
Η Qrator ανέφερε επίσης ότι μετά την ανάλυση της πηγής του μεγαλύτερου μέρους της επίθεσης, δείχνει να έρχεται από συσκευές της MikroTik, μιας μικρής Λετονικής εταιρείας που πωλεί εργαλεία δικτύωσης όπως routers, IoT gateways, WiFi access points, switches και εξοπλισμό δικτύων κινητής τηλεφωνίας.