Компанія «Ростелеком-солар», що спеціалізується на питаннях кібербезпеки, виявила і запобігла спробі зловмисників залучити понад 45 тисяч пристроїв в ботнет Meris. Експерти вважають, що саме він використовувався для рекордної DDoS-атаки на «Яндекс». Передбачається, що в даний момент Meris налічує близько 200 тисяч пристроїв. Таким чином, «Ростелеком-солар» запобігла збільшенню ботнету на 20%.
Фахівці компанії отримали і проаналізували команди, що використовуються для управління зараженими пристроями. Вони визначили, що заражені маршрутизатори MikroTik зверталися до незареєстрованого домену і запитували нові інструкції за адресою
cosmosentry.com. Інженери «Ростелеком-солар» зареєстрували цей домен і розмістили на ньому повідомлення, що інформує користувачів про те, хто володіє доменом і чому маршрутизатор встановив це з'єднання.
Фахівці «Ростелеком-солар» також змогли ідентифікувати географічне місце розташування пристроїв, схильних до атаки. За даними компанії, більше 20% з них знаходяться в Бразилії. У топ-5 країн за кількістю заражених роутерів увійшли Україна, Індонезія, Польща та Індія. На Росію припало менше 4%.
«Ростелеком-солар» вважає, що ботнет Meris був створений за допомогою вірусу Glupteba, націленого на комп'ютери, що працюють під управлінням Windows. Зазвичай він використовується як завантажувач для інших шкідливих програм. Наразі невідомо, чи замішані творці Glupteba у створенні ботнету Meris.
