DDoS-атаку на Яндекс провели сетевые устройства в составе ботнета Meris

Татьяна Никитина 09 Сентября 2021 - 18:37

...

DDoS-атаку на Яндекс провели сетевые устройства в составе ботнета Meris

Расследование показало, что источником DDoS-атаки уровня приложений, которую «Яндексу» недавно пришлось пережить, является бот-сеть с кодовым именем Mēris (латыш. «чума»). Мощность мусорного потока составила более 20 млн запросов в секунду (RPS), его создавали 56 тыс. зараженных сетевых устройств.

Атака, о которой идет речь, произошла в минувшие выходные. Ее подробности стали известны сегодня, 9 сентября: «Яндекс» опубликовал в своем блоге на «Хабр» результаты расследования в отношении Mēris, которое ИБ-служба компании проводит совместно с Qrator Labs.

Новый DDoS-ботнет был обнаружен в конце июня. В его атаках принимают участие десятки тысяч зараженных устройств — в основном сетевых, с Ethernet-подключением. На самом деле в состав вредоносной сети, по оценке исследователей, могут входить свыше 200 тыс. подневольных девайсов.

На настоящий момент выявлены некоторые особенности Mēris:

использование конвейерной обработки HTTP, позволяющей значительно повысить RPS по сравнению с другими IoT-ботнетами;
отсутствие спуфинга IP-адреса в отправляемых запросах;
открытый TCP/UDP порт 5678 (его обычно используют роутеры Mikrotik и Linksys);
SOCKS4-прокси на зараженном устройстве (не подтверждено);
использование обратных L2TP-туннелей для внутренних коммуникаций.

Исследователи провели поиск открытых портов 5678 в интернете и выявили 328 723 активных хоста, которые потенциально могут работать на Mēris, — в основном в США (42,6%) и Китае (18,9%).

Новоявленный ботнет продолжает расти — за счет брутфорса паролей или эксплуатации уязвимостей, пока неизвестно. Если это какая-то дыра в RouterOS, то она совсем свежая, так как приобщенные к ботнету устройства Mikrotik работают в основном под управлением ОС версий последних трех лет, с преобладанием предпоследней.

Как оказалось, воскресная DDoS-атака на «Яндекс» с участием Mēris — не единственная. Новобранец уже несколько раз пытался вывести из строя серверы компании, наращивая мощность:

7 августа, 5,2 млн RPS
9 августа, 6,5 млн RPS
29 августа, 9,6 млн RPS
31 августа, 10,9 млн RPS
5 сентября, 21,8 млн RPS

Выстроенная «Яндексом» защита пока позволяет успешно справляться с такими потоками без бана по IP. Собранные данные о новой «чуме» переданы в Mikrotik и профильные организации.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Июня 2026 - 14:19

Утечки информации Умышленные утечки информации Кража данных Соответствие законодательству РФ Общее

Роскомнадзор проиграл кассацию по делу об утечке данных РЖД

Роскомнадзор проиграл ещё один раунд в громком деле об утечке данных РЖД. Арбитражный суд Московского округа оставил в силе решение апелляции, которая ранее отменила штраф в отношении компании. Спор начался после того, как в телеграм-каналах появилась база данных сотрудников РЖД объёмом более 17 миллионов записей.

После инцидента Роскомнадзор добился привлечения компании к ответственности по части 1 статьи 13.11 КоАП РФ за нарушение требований к обработке персональных данных.

Однако в феврале 2026 года Девятый арбитражный апелляционный суд отменил этот штраф. Суд пришёл к выводу, что сама по себе утечка ещё не доказывает вину оператора персональных данных.

Апелляция указала, что инцидент стал результатом целенаправленной кибератаки, по факту которой было возбуждено уголовное дело. При этом Роскомнадзор не смог показать, какие именно меры защиты РЖД обязана была внедрить, но не внедрила.

Регулятор попытался оспорить такой подход в кассации, однако Арбитражный суд Московского округа поддержал позицию апелляционной инстанции и отказался пересматривать её выводы.

Фактически суд подтвердил важный для отрасли принцип: наличие утечки не означает автоматического признания компании виновной. Для привлечения к ответственности необходимо доказать, что оператор не выполнил конкретные требования по защите данных или допустил нарушения.

Для бизнеса это решение может стать одним из наиболее заметных судебных прецедентов последних лет в сфере персональных данных. Позиция о недопустимости так называемого объективного вменения при утечках теперь устояла сразу в трёх судебных инстанциях.

Впрочем, точку в истории ставить пока рано. У Роскомнадзора остаётся возможность обратиться в Верховный суд России.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!