DDoS-атака на Рунет

Яндекс сообщает о крупнейшей DDoS-атаке на Рунет – виной тому ботнет Meris. Он задал столько запросов, что поисковик просто не справился, и показатель отказов вырос неправдоподобно. Как отчитались представители IT-гиганта, им удалось сдержать наплыв в 22 млн. RPS. Такой массовости еще никогда не встречалось.

На данный момент над расследованием работают Яндекс и Qrator Labs. На данный момент известно, что это не первая попытка обрушить Яндекс, но самая крупная. Она реализована новым ботнетом Meris (с латышского – чума). Название ему дали после обрушения на латвийский Mikrotic. Основная опасность – это способность маскироваться под обычных пользователей.

Первые изменения заметили еще в августе, тогда хакеры попытались остановить работу сети за счет невероятных объемов данных. В сентябре их количество существенно выросло. История выглядит приблизительно так (август 2021 года, млн. RPS):

• 7 августа 2021 – 5,2 млн.;
• 9 – 6,5;
• 29 – 9,6;
• 31 – 10,9;
• 09.21 – 21 800 000 RPS.

Чтобы работать в интернете, используются обратные L2TP-туннели, которые смогли заразить более 250 000 устройств. При этом происходит постоянная ротация устройств, что не позволяет точно установить всю силу и мощность ботнета.

Специалисты отмечают, что вирус и дальше растет и распространяется, потенциальный рост возможен из-за брутфорса (подбора паролей). Другой вариант – вирус не афишировался до атаки, а после нее его продали в Darknet.

Yandex предполагает, что уязвимость уже тестировалась в США и Новой Зеландии. По полученным показателям можно сделать вывод, что бот может остановить работу любой сети, в т.ч. повышенной надежности, созданной для сдерживания такой нагрузки.

Компания отметила, что уязвимость удалось сдержать благодаря алгоритмам, которые оценивали естественность каждого вопроса. Именно они отделили запросы реальных людей от ботнета. К тому же, вирус не остановил работу сайта, и информация пользователей не пострадала.