С помощью центра раннего выявления киберугроз Solar JSOC CERT специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) и компании «Ростелеком-Солар» выявили и предотвратили попытку хакеров вовлечь в ботнет Meris более 45 000 новых устройств. По мнению экспертов, именно этот ботнет использовался при недавней DDoS-атаке на Яндекс, которую называют крупнейшей за всю историю Рунета. Предположительный масштаб Meris – 200 000 устройств, таким образом, за счет новой атаки он мог увеличить мощности на 20%.

Благодаря сети ханипотов Solar JSOC CERT специалисты «Ростелеком-Солар» смогли получить и проанализировать команды, которые используются для управления зараженными устройствами. Выявленные в них ошибки позволили экспертам Solar JSOC CERT обнаружить 45 000 сетевых устройств, идентифицировать их географическое местоположение и изолировать от ботнета.

Ботнет Meris предположительно состоит преимущественно из оборудования MikroTik, которое широко применяется домашними пользователями для подключения к интернету. Некоторые версии прошивок MikroTik содержат критические уязвимости, эксплуатация которых позволяет хакерам захватывать контроль над устройствами и объединять их в сеть под управлением единого центра или нескольких центров. Такие ботнеты используются для проведения масштабных фишинговых, DDoS- и других кибератак. По данным, полученным «Ростелеком-Солар», при атаке на устройства MikroTik злоумышленники пытаются эксплуатировать известные уязвимости, а также подбирать пароли доступа к роутерам.

Более 20% атакованных устройств находятся в Бразилии. В топ-5 географии присутствия данного сегмента Meris – Украина, Индонезия, Польша и Индия. Зараженные устройства из России составили менее 4% ботнета.

Эксперты Solar JSOC CERT компании «Ростелеком-Солар» передали список зараженных устройств в НКЦКИ, который оперативно проинформировал зарубежные государственные центры реагирования на кибератаки о наличии в их странах сегментов ботнета. Российские операторы связи, в инфраструктуре которых были выявлены зараженные узлы, также были оповещены об инциденте.

Технические подробности по результатам исследования будут представлены в готовящемся отчете, который будет опубликован на информационных ресурсах Solar JSOC CERT компании «Ростелеком-Солар» и НКЦКИ, а также доведен НКЦКИ установленным порядком до субъектов ГосСОПКА.

Принятые меры противодействия

«Оперативное взаимодействие с одним из ключевых центров ГосСОПКА позволило нам существенно снизить атакующий потенциал крупного ботнета, который мог использоваться для атак на объекты критической информационной инфраструктуры России или информационные ресурсы, освещающие важные общественно-политические мероприятия в стране», – отметили в НКЦКИ.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

ГК «Солар» запустила функцию переноса сайтов СМБ с Cloudflare на Solar Space

ГК «Солар» запустила функцию переноса сайтов СМБ с Cloudflare на Solar Space

Узнать больше
Программно-аппаратные комплексы Solar NGFW зарегистрированы в Реестре Минцифры России

Программно-аппаратные комплексы Solar NGFW зарегистрированы в Реестре Минцифры России

Узнать больше
Как рынок ИБ пережил 2024 год и чего ждать от 2025:  анализ и прогноз ГК «Солар»

Как рынок ИБ пережил 2024 год и чего ждать от 2025: анализ и прогноз ГК «Солар»

Узнать больше
CyberStage и SberUnity объединят компетенции для поддержки стартапов области информационной безопасности

CyberStage и SberUnity объединят компетенции для поддержки стартапов области информационной безопасности

Узнать больше
Клиенты Т2 заказали более 1 млн проверок утечки персональных данных от «Солара»

Клиенты Т2 заказали более 1 млн проверок утечки персональных данных от «Солара»

Узнать больше
ГК «Солар» стала владельцем 100% системного ИБ интегратора «ЭЛВИС-ПЛЮС»

ГК «Солар» стала владельцем 100% системного ИБ интегратора «ЭЛВИС-ПЛЮС»

Узнать больше
Solar DAG: новые возможности для управления доступом к неструктурированным данным в операционных системах Microsoft Windows и Linux

Solar DAG: новые возможности для управления доступом к неструктурированным данным в операционных системах Microsoft Windows и Linux

Узнать больше
«Солар»: совместимость с РЕД ОС расширяет потенциал применения Solar DAG до 85% инфраструктур, использующих российские ОС

«Солар»: совместимость с РЕД ОС расширяет потенциал применения Solar DAG до 85% инфраструктур, использующих российские ОС

Узнать больше
ГК «Солар»: здравоохранение больше других сфер страдает от вирусов

ГК «Солар»: здравоохранение больше других сфер страдает от вирусов

Узнать больше