Mēris ボットネット:Yandex DDoS 攻撃で 2180 万 RPS を記録

New Mēris botnet breaks DDoS record with 21.8 million RPS attack

2021/09/09 BleepingComputer — この夏の間に増え続けた新たな DDoS ボットネットが、この1か月の間にロシアのインターネット大手 Yandex を攻撃し続け、ピーク時には 21.8 million RPS (requests per second) という、前代未聞のリクエスト数を記録した。このボットネットは、Mēris (メリス) と名付けられており、研究者たちの推測によると、強力なネットワーク機器で構成される、数万台の危険なデバイスにからパワーを得ているという。

大規模で強力なボットネット

今週に Yandex を襲った、大規模な DDoS 攻撃は、RuNet (Russian Internet) 史上最大のものであると、ロシアのメディアに掲載されていた。その詳細が、Yandex と Qrator Labs ( DDoS 対策サービス提供) の共同調査で明らかになった。この新しいMēris ボットネット (ラトビア語で疫病の意) がディプロイした、複数の攻撃先から個別に収集された情報によると、3万台以上のデバイスからの攻撃力が観察されているという。

Yandex が観測したデータによると、同社のサーバーへの攻撃は、侵害された約56,000の攻撃ホストからものだとされる。しかし、研究者たちは、それらのデバイス数について、250,000 台に近い可能性があるという見方をしている。Qrator Labs のブログ記事には、Mēris を形成する攻撃勢力と感染したホストの総数に差があるのは、管理者がボットネットのフルパワーを誇示したくないためだと、記されている。研究者たちは、Mēris に感染したホストについて、WiFi に接続された典型的な IoT デバイスではなく、イーサネット接続を必要とする高機能デバイスだと指摘している。

先日に Cloudflare で記録された、ピーク時で 17.2 million RPS という最大級の攻撃トラフィックを生成したのも、この Mēris ボットネットである。しかし、Mēris ボットネットは、9月5日の Yandex への攻撃で、その時を上回る 21.8 million RPS を記録している。このボットネットの、Yandex への攻撃履歴は、8月初旬の 5.2 million RPS から始まり、その強さを増し続けている。

・2021-08-07 – 5.2 million RPS
・2021-08-09 – 6.5 million RPS 
・2021-08-29 – 9.6 million RPS
・2021-08-31 – 10.9 million RPS
・2021-09-05 – 21.8 million RPS

MikroTik 製デバイス示す技術データ

研究者たちによると、Mēris は攻撃をディプロイするために、侵害したデバイスの SOCKS4 プロキシを悪用し、HTTP パイプライン DDoS 技術と Port 5678 ポートを使用している。侵害された機器については、ラトビアの企業向けにネットワーク機器を製造している、MikroTik に関連するものだとされる。攻撃を受けたデバイスの多くは、Port 2000 と Port 5678 を開放していた。後者は MikroTik のデバイスを指し、MikroTik Neighbor Discovery Protocol で使用されている。

Qrator Labs は、MikroTik が UDP (User Datagram Protocol) を通じて標準サービスを提供しているのに対し、侵害されたデバイスは TCP (Transmission Control Protocol) も開けていることを発見した。Qrator Labs の研究者は、「このような偽装が、所有者に気づかれずに、デバイスがハッキングされた理由の1つだろう」と考えている。公開されている TCP Port 5678 を検索したところ、328,000以上のホストが応答した。LinkSys のデバイスも、同じ Port で TCP を使用しているため、この数字の全てが MikroTik デバイスを指すわけではない。研究者たちは、Port 2000 は Bandwidth Test Server のためのものだと言う。開いているときは、MikroTik の Router OSプロトコルに属するシグネチャで、着信接続を返信する。

これらの発見については、MikroTik にも報告されている。このベンダーは、ロシアの出版社である Vedomosti に対して、自社製品を危険にさらす、新たな脆弱性が存在するとは認識していないと述べている。また、MikroTik は、同社のデバイスの多くが、CVE-2018-14847 として追跡され、2018年4月にパッチが適用された、セキュリティ問題に対して脆弱な、古いファームウェアを継続して使用していると述べている。しかし、Yandex と Qrator Labs が、Mēris ボットネット攻撃で観測した RouterOS のバージョン範囲は大きく異なり、現在の安定版である 6.48.4 や、その前のバージョンである 6.48.3 などの、より新しいファームウェアを実行するデバイスも含まれるとしている。

先日の「Cloudflare 対 Mirai:ピークで 1,720万 rps の DDoS 攻撃に耐えきった」にも驚きましたが、さらに上をいく攻撃の規模ですね。Cloudflare の方が、Mirai なのか Mēris なのか、ちょっと分からなくなりましたが、そのうちハッキリするでしょう。先日も、ニュージーランドの ISP が DDoS にやられていました。よろしければ、「DDoS 調査:短時間と高帯域というトレンドに緩和策は有効なのか?」もど〜ぞ。

%d bloggers like this: