Опасный троян, получивший известность еще в 2018 году, мог стать основой для формирования ботнета Mēris. Речь идет о вредоносном семействе Glupteba, с помощью которого ботнет до сих пор захватывает новые устройства. Об этом свидетельствуют данные расследования, проведенного центром Solar JSOC CERT (входит в компанию «Ростелеком-Солар»).
Аналитики Solar JSOC CERT заявили, что в последние два года они отмечали многочисленные попытки заражения устройств латвийского поставщика оборудования MicroTik, которые в итоге стали основой атаковавшего «Яндекс» ботнета. Специалисты посчитали, что взломщики использовали перебор паролей и эксплуатацию одной из уязвимостей, которая позволяла им получить доступ к учетной записи администратора.
После этого в планировщик Router OS прописывалась команда на добавление задач, с помощью которой киберпреступники могли отправлять устройству скрипт с командами.
«9 сентября 2021 года на наши устройства MikroTik с серверов управления пришла очередная задача описанного формата, которую мы не встречали ранее. Она содержала ссылку на "Яндекс", — отметили специалисты Solar JSOC CERT. — Также в этот день "Яндекс" опубликовал новость о DDoS-атаке. Прочитав ее, мы сделали предположение, что именно таким образом и была организована атака. То есть в качестве семпла вредоносного кода выступает лишь задача в планировщике RouterOS».
Затем эксперты проанализировали те доменные имена, с которых на устройства поступали скрипты с командами. Выяснилось, что они были напрямую связаны с семейством вредоносных программ Glupteba. В одноименном трояне содержится модуль, отвечающий за заражение продукции MikroTik, который использует такую же схему атаки: перебор паролей и эксплуатацию указанной уязвимости.
«Описанные данные позволяют предположить, что вредоносное семейство Glupteba участвовало в формировании ботнета Mēris, — констатировали эксперты Solar JSOC CERT. — Наша статистика по геопринадлежности зараженных устройств схожа с данными "Яндекса" — Бразилия, Индонезия, Индия, Бангладеш. Но есть и различия: у нас большую часть занимает Украина. Вероятно, у ботнета Mēris несколько серверов управления и нам доступна только часть устройств».
В начале сентября сотрудникам «Яндекса» удалось отразить крупнейшую DDoS-атаку в истории интернета. Ее мощность достигала 20 миллионов запросов в секунду. Проведенное совместно со специалистами Qrator Labs расследование позволило выяснить, что за нападением стоит крупный ботнет, получивший название Mēris. Спустя несколько дней с его помощью атаковали ряд банков и других финансовых организаций страны.