Яндекс опубликовал подробности об отраженной DDoS-атаке

На прошлых выходных Яндекс подвергся масштабной DDoS-атаке – самой крупной в истории рунета. Компании удалось сдержать кибертаку и на работу сервисов Яндекса она никак не повлияла, однако, эксперты бьют тревогу, так как это лишь одна из множества атак, направленных не только на Яндекс, но и на многие другие компании в мире. Атаки продолжаются уже несколько недель, их масштабы беспрецедентны, а их источник – новый ботнет, о котором пока мало что известно. 

Специалисты Яндекса вместе с коллегами из Qrator Labs провели совместное расследование деятельности нового ботнета, и посчитали нужным поделиться  собранной информацией со всей индустрией. 

Ботнет получил название Mēris, с латышского это переводится как «чума». Установлено, что он объединил в себе только роутеры небольшой латвийской компании Mikrotik, которая делает недорогое, но достаточно мощное сетевое оборудование, продающееся во многих странах. Службе информационной безопасности Яндекса удалось установить детали внутреннего устройства ботнета Mēris. Для взаимодействия внутри сети используются обратные L2TP-туннели, а количество зараженных устройств достигает 250 000.

«Кто-то – мы не знаем кто – нашел уязвимость – какую, мы тоже пока не знаем – в роутере и, скорее всего, продал ее людям, занимающимся DDoS-атаками», –  объяснил директор по безопасности Яндекса Антон Карпов. – Такие уязвимости продаются и покупаются на черном рынке. Как пример, стоимость уязвимости в iPhone может достигать $5 млн».

Эксперт не знает, почему самая крупная атака пришлась именно на Яндекс, и в целом считает поведение организаторов этих атак довольно загадочным. Обычно ботнеты годами живут в тени, набирают силу, а потом точечно по тарифу атакуют компании. А Mēris за последние пару месяцев совершил атаки в самых разных частях мира и без очевидной цели. 

«Яндекс – не банк, и финансовой выгоды атаковать нас нет, плюс мы – большая компания, и атаковать нас технически сложно. А во время атаки нападающий сразу раскрывает свой ботнет, и после этого с ним начинают бороться».

То, с чем столкнулся Яндекс, – это, скорее всего, не полная мощность ботнета, а только демонстрация силы, считает независимый IT-эксперт Григорий Бакунов (ранее один из топ-менеджеров Яндекса). По его словам, Яндекс под этим натиском выжил, потому что очень большой и хорошо защищен. Практически любой другой из российских игроков, скорее всего, закончит плохо и под таким натиском выйдет из строя. Обычно такие атаки делают, чтобы продемонстрировать силу. 

«О том, что случилось, все написали, а теперь владелец ботнета может приходить к потенциальным клиентам и предлагать за деньги атаковать конкурента. То есть, это просто реклама возможностей», – считает Бакунов. 

Кроме того, тот факт, что и Яндекс, и Qrator Lab — известные эксперты по кибератакам в России и Европе — атаку признали, стал дополнительным пиаром для ее организаторов и даже своего рода знаком качества.

Яндексу удалось связаться с Mikrotik и предоставить им собранные данные. Однако эксперты по безопасности считают, что быстро решить проблему не выйдет. До сих пор никто не знает, через какую уязвимость расширяется ботнет. Тем более, что все зараженные устройства  находятся у пользователей по всему миру. Mikrotik разве что сможет найти несколько зараженных устройств и провести исследование, но вряд ли это даст быстрые результаты, иначе Яндекс и Qrator уже и сами бы нашли уязвимость.

Что делать в такой ситуации?

Специалисты Яндекса заявляют, что подобного рода атаки довольно просто блокируются, особенно компаниями с хорошим уровнем безопасности: 

«Черные списки все еще работают. Поскольку в этих атаках не происходит подмены IP-адреса источника (нет спуфинга), каждая жертва видит источник атаки таким, какой он есть на самом деле. Блокировки на короткий промежуток времени должно быть достаточно, чтобы предотвратить атаку и не побеспокоить конечного пользователя».