Posté le septembre 17, 2021 à 19:31
LE GÉANT RUSSE DE L’INTERNET SUBIT LA PLUS GRANDE ATTAQUE PAR DÉNI DE SERVICE DISTRIBUÉ DE L’HISTOIRE
Le géant russe de l’internet, Yandex, a subi une importante attaque par déni de service distribué (DDoS). L’attaque a duré plusieurs jours et s’est produite entre août et septembre. Après l’attaque, environ 22 millions de demandes par seconde (RPS) ont été détectées.
Vedomosti, une publication locale, a rendu publique l’attaque, notant qu’il s’agit de la plus grande attaque DDoS de l’histoire. Cloudflare, une société de cybersécurité, a également confirmé l’attaque. Elle a déclaré que la seule autre attaque DDoS majeure s’est produite à 17,2 millions RPS. Yandex a battu ce record après avoir enregistré 21,8 millions RPS le 5 septembre. Ce chiffre est supérieur aux 5,2 millions RPS enregistrés le 7 août.
L’attaque aurait eu lieu après que l’entreprise ait acheté un nouveau botnet exploitant l’équipement réseau d’un fournisseur balte.
Aucune donnée n’a été compromise
Le géant de l’internet a eu du mal à gérer et à se débarrasser de cette attaque. Cependant, l’entreprise n’a pas donné de détails supplémentaires sur l’attaque car une analyse d’audit était en cours. Elle a toutefois confirmé que les données des utilisateurs n’ont pas été affectées par l’attaque. La publication de Vedomosti indique également que l’attaque constitue une menace pour l’infrastructure nationale.
Il reste à déterminer si les mesures strictes mises en place pour régir l’internet russe ont joué un rôle dans le renforcement de la résilience de l’entreprise. La conception unique de l’internet russe la protège de la fermeture de l’internet mondial et fournit un point de contrôle central au Kremlin.
Yandex a déclaré qu’un nouveau botnet nommé Meris a provoqué l’attaque. Cette affirmation a également été soutenue par Qrator Labs, le fournisseur de protection DDoS de Yandex.
Meris est un nom qui se traduit par « peste » en letton. Meris est un botnet DdoS composé d’environ 30 000 dispositifs qui ont été compromis. Les données récentes de Yandex concernant l’attaque montrent qu’environ 56 000 hôtes compromis ont été impliqués. Les experts estiment donc que le nombre de dispositifs affectés par le botnet Meris pourrait atteindre les 250 000.
Qrator Labs a publié un billet de blog indiquant que l’étendue du réseau de zombies Meris n’était toujours pas claire. Ce n’est pas la première fois que le botnet Meris est utilisé. Il a déjà été utilisé pour lancer des attaques DDoS contre des entreprises financières aux États-Unis, au Royaume-Uni, en Russie et en Nouvelle-Zélande.
Les opérateurs derrière le botnet l’ont exploité et ont envoyé des e-mails pour demander une rançon. Ils ont également menacé de mener d’autres attaques DDoS contre des organisations qui ne pouvaient pas fonctionner sans interruption de service.
Saryu Nayyar, PDG de Gurucul, a déclaré que « les entreprises vulnérables aux attaques DDoS peuvent les contrer par des mesures telles que le maintien d’emplacements DNS alternatifs et la détection précoce des attaques afin de pouvoir les atténuer. L’utilisation d’outils d’analyse des risques peut permettre aux organisations d’identifier immédiatement ces attaques et de les contrer avant qu’elles ne mettent complètement fin à la présence sur le Web. »
Le botnet Meris utilisé utilisé pour attaquer les appareils MikroTik
Les chercheurs ont également noté que le botnet Meris était un dispositif avancé qui nécessitait une connexion Ethernet pour fonctionner. Les chercheurs ont également déclaré que le botnet exploite la technique d’attaque DDoS utilisant une technique appelée pipeline HTTP qui nécessite un port et un proxy. Le botnet mène de gros volumes d’attaques DDoS pour faire tomber le serveur.
Les experts affirment que le botnet est principalement utilisé pour attaquer les appareils dont les ports 2000 et 5678 sont ouverts. MikroTik utilise le port 5678 pour le protocole Neighbor Discovery. Les experts indiquent également que les appareils Mikrotik offrent des services en utilisant le protocole UDP (User Datagram Protocol), mais que les appareils concernés utilisent le protocole TCP (Transmission Control Protocol).
Qrator a déclaré à ce sujet : « Bien que Mikrotik utilise UDP pour son service standard sur le port 5678, un port TCP ouvert est détecté sur les appareils compromis – Ce type de déguisement pourrait être l’une des raisons pour lesquelles les appareils ont été piratés sans être remarqués par leurs propriétaires. »
Environ 328 000 appareils ont le port 5678 ouvert. Néanmoins, ce port est utilisé par les appareils Mikrotik et a également été utilisé par Linksys pour la transmission TCP.
De son côté, MikroTik a déclaré qu’elle n’était pas au courant de la vulnérabilité à l’origine de l’attaque DDoS. Néanmoins, elle a admis que la plupart de ses appareils fonctionnaient avec le micrologiciel obsolète contenant la vulnérabilité CVE-2018-14847.
Cependant, Yandex a déclaré que l’attaque s’est également produite sur des appareils MikroTik utilisant un nouveau firmware avec 6.48.3 et 6.48.4. Cloudflare a ajouté que le botnet Meris a été créé à partir de versions précédentes du malware Mirai DDoS utilisé pour les attaques de bande passante.
S’exprimant sur les moyens d’atténuer ces attaques, Bill Lawrence, le responsable de la sécurité des systèmes d’information (CISO) de SecurityGate, a déclaré : « Si les attaques par ransomware ont récemment fait la une des journaux, ces attaques (et les DDoS) sont incluses dans la proposition de loi visant à renforcer les rapports de cybersécurité des propriétaires et exploitants d’infrastructures critiques à la CISA (Cybersecurity and Infrastructure Security Agency) au sein du DHS. »
