С помощью центра раннего выявления киберугроз Solar JSOC CERT специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» выявили и предотвратили попытку хакеров вовлечь в ботнет Meris более 45 000 новых устройств. По мнению экспертов, именно этот ботнет использовался при недавней DDoS-атаке на Яндекс, которую называют крупнейшей за всю историю Рунета. Предположительный масштаб Meris – 200 000 устройств, таким образом, за счет новой атаки он мог увеличить мощности на 20%.

Благодаря сети ханипотов Solar JSOC CERT специалисты «Ростелеком-Солар» смогли получить и проанализировать команды, которые используются для управления зараженными устройствами. Выявленные в них ошибки позволили экспертам Solar JSOC CERT обнаружить 45 000 сетевых устройств, идентифицировать их географическое местоположение и изолировать от ботнета.

Ботнет Meris предположительно состоит преимущественно из оборудования MikroTik, которое широко применяется домашними пользователями для подключения к интернету. Некоторые версии прошивок MikroTik содержат критические уязвимости, эксплуатация которых позволяет хакерам захватывать контроль над устройствами и объединять их в сеть под управлением единого центра или нескольких центров. Такие ботнеты используются для проведения масштабных фишинговых, DDoS- и других кибератак. По данным, полученным «Ростелеком-Солар», при атаке на устройства MikroTik злоумышленники пытаются эксплуатировать известные уязвимости, а также подбирать пароли доступа к роутерам.

Более 20% атакованных устройств находятся в Бразилии. В топ-5 географии присутствия данного сегмента Meris – Украина, Индонезия, Польша и Индия. Зараженные устройства из России составили менее 4% ботнета.

Эксперты Solar JSOC CERT компании «Ростелеком-Солар» передали список зараженных устройств в НКЦКИ, который оперативно проинформировал зарубежные государственные центры реагирования на кибератаки о наличии в их странах сегментов ботнета. Российские операторы связи, в инфраструктуре которых были выявлены зараженные узлы, также были оповещены об инциденте.

Технические подробности по результатам исследования будут представлены в готовящемся отчете, который будет опубликован на информационных ресурсах Solar JSOC CERT компании «Ростелеком-Солар» и НКЦКИ, а также доведен НКЦКИ установленным порядком до субъектов ГосСОПКА.

Принятые меры противодействия

«Оперативное взаимодействие с одним из ключевых центров ГосСОПКА позволило нам существенно снизить атакующий потенциал крупного ботнета, который мог использоваться для атак на объекты критической информационной инфраструктуры России или информационные ресурсы, освещающие важные общественно-политические мероприятия в стране», – отметили в НКЦКИ.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Группировка Shedding Zmiy взяла на вооружение новый опасный вредонос для атак на российские организации

Группировка Shedding Zmiy взяла на вооружение новый опасный вредонос для атак на российские организации

Узнать больше
Solar Dozor: 80% увольняющихся сотрудников пытаются забрать конфиденциальную информацию из компании

Solar Dozor: 80% увольняющихся сотрудников пытаются забрать конфиденциальную информацию из компании

Узнать больше
ГК «Солар»: число утечек e-mail в 2024 году снизилось почти на 40%

ГК «Солар»: число утечек e-mail в 2024 году снизилось почти на 40%

Узнать больше
«Солар» совершенствует технологии защиты детей от веб-угроз для подписки «MiXX Вместе»

«Солар» совершенствует технологии защиты детей от веб-угроз для подписки «MiXX Вместе»

Узнать больше
Почти четверть всех утечек данных будет связано с внедрением искусственного интеллекта

Почти четверть всех утечек данных будет связано с внедрением искусственного интеллекта

Узнать больше
«Солар» расширяет партнерство с «Группой Астра» в области технологий кибербезопасности

«Солар» расширяет партнерство с «Группой Астра» в области технологий кибербезопасности

Узнать больше
Необновленное ПО, слабые пароли — основные киберуязвимости госсектора

Необновленное ПО, слабые пароли — основные киберуязвимости госсектора

Узнать больше
ГК «Солар» признана лидером сегмента ИБ-услуг в России

ГК «Солар» признана лидером сегмента ИБ-услуг в России

Узнать больше
Эксперты Solar 4RAYS выявили новую волну фишинга на компании под видом рассылки от приставов

Эксперты Solar 4RAYS выявили новую волну фишинга на компании под видом рассылки от приставов

Узнать больше
«Солар»: DDoS-атаки переходят в регионы, в топе целей — финсектор и недвижимость

«Солар»: DDoS-атаки переходят в регионы, в топе целей — финсектор и недвижимость

Узнать больше