Стало відомо, що 8 вересня інтернет-ресурс «Хабр» був атакований ботнетом M^ ris. Потужна DDoS-атака тривала з 15:29:30 до 15:31:00 (90 секунд) і була успішно відображена силами Qrator Labs, завдяки чому ні користувачі сайту, ні адміністрація «Хабра» не помітили будь-яких порушень у роботі ресурсу.
Судячи з графіка з усередненням по 30 секунд, в піку потужність DDoS-атаки на «Хабр» досягала 367 тис. запитів в секунду, тоді як при розгляді графіка з усередненням по 1 секунді це значення збільшується до 769 тис. запитів в секунду. Піковий обсяг трафіку зафіксували в 15:30, тоді потужність атаки досягла 8,6 Гбіт/с. У Qrator Labs вважають, що максимальна потужність атаки могла досягати 3,5 млн запитів в секунду.
Після виявлення DDoS-атаки засобами Qrator Labs було заблоковано 20 013 заражених пристроїв, що є частиною ботнету M^ ris. Згідно з наявними даними, велика частина заражених пристроїв розташовується на території Бразилії, Індонезії, Індії, Іраку, України, Бангладеш, Росії, Польщі, США, Камбоджі, Колумбії та Китаю. На думку фахівців, телеметрія та інші непрямі ознаки вказують на те, що це була тестова DDoS-атака на ресурс за допомогою M^ ris.
Нагадаємо, раніше цього місяця найбільшу в історії рунету DDoS-атаку витримав «Яндекс». Вона була здійснена за допомогою ботнета M^ ris, що складається з більш ніж 200 тис. заражених пристроїв, імовірно компаній MikroTik і Linksys. Згідно з наявними даними, ботнет продовжує набирати силу за рахунок зараження більшої кількості пристроїв шкідливим програмним забезпеченням.
Зазначимо, що представники компанії MikroTik опублікували офіційну заяву з приводу активності ботнету M^ ris. "Багато хто з вас питає, що це за ботнет M^ ris, про який зараз говорять новинні видання, і чи є якась нова вразливість в RouterOS. Наскільки нам відомо, в цих атаках використовуються ті ж маршрутизатори, які були зламані ще в 2018 році, коли в MikroTik RouterOS була знайдена вразливість, яка була швидко виправлена. На жаль, виправлення вразливості не відразу захистило маршрутизатори. Якщо хтось дізнався ваш пароль у 2018 році, то просте оновлення не допоможе. Ви також повинні змінити пароль, перевірити свій брандмауер, щоб він не дозволяв віддалений доступ невідомим особам, і пошукати скрипти, яких ви не створювали. Ми намагалися зв'язатися з усіма користувачами RouterOS з цього приводу, але багато з них не вийшли на зв'язок з MikroTik і не стежать за своїми пристроями. Зараз ми шукаємо інші рішення. Наскільки нам відомо, на даний момент в цих пристроях немає нових вразливостей. Нещодавно RouterOS пройшла незалежний аудит, які провели кілька сторонніх підрядників ", - йдеться в повідомленні MikroTik. При виявленні на пристроях з RouterOS скриптів і конфігурацій SOCKS, які не були створені користувачем і з'явилися недавно, розробники просять зв'язатися з ними.
