圖片來源: 

Yandex

俄羅斯最大網路公司Yandex在9月9日證實,該公司日前遭遇了網路史上規模最大的分散式阻斷服務攻擊(DDoS),攻擊流量達到每秒2,180萬次的請求,原本外界以為該攻擊是鎖定Yandex,不過根據Yandex與當地資安業者Qrator Labs的調查,相關攻擊已經持續了好幾周,除了Yandex之外還有其它企業受害,而且駭客所操縱的是一個全新的殭屍網路Mēris。

Yandex現為俄羅斯最大的科技公司,提供搜尋、電子商務、導航及行動程式等逾70種網路產品與服務,也是俄羅斯第二大的搜尋引擎,市占率為43%,僅次於Google的55%。

根據雙方的調查,此一Mēris殭屍網路的攻擊行動始於今年6月底,Cloudflare在今年8月攔截的大規模DDoS攻擊也是其中之一,當時Cloudflare處理了來自全球2萬臺殭屍裝置每秒發出的逾1,700萬次的請求,已刷新DDoS攻擊的流量規模。

不過,Qrator Labs偵測到的殭屍網路裝置為3萬臺,Yandex所蒐集到的殭屍網路則是5.6萬臺,此外,Qrator Labs與Yandex相信,Mēris殭屍網路的成員裝置可能超過20萬臺,駭客並未發揮該殭屍網路的全部實力。而且不僅是Yandex,Mēris殭屍網路的攻擊已橫掃紐西蘭、美國與俄羅斯。

雖然有人揣測Mēris殭屍網路可能源自Mirai,但Yandex目前並不這麼判斷。Mirai殭屍網路是由眾多的IoT裝置組成,由單一的命令中心控制,展開網路等級的流量攻擊,而Mēris殭屍網路雖然也是由單一的命令中心控制,但它的組成裝置看起來更強大,主要透過乙太網路連結,而且攻擊裝置都來自於同一個品牌Mikrotik。

Mikrotik為拉脫維亞網路設備製造商,主要銷售有線與無線網路設備,從路由器、交換器到無線網路熱點等,也自行打造作業系統。Mēris即為拉脫維亞語中的「瘟疫」。

Qrator Labs與Yandex還無從分析Mēris所使用的惡意程式,也不確定駭客開採這些裝置的手法,雖然Mikrotik裝置從2017年就傳出遭到駭客開採,也有許多舊款的Mikrotik裝置未修補重要漏洞,然而,分析顯示,被Mēris招募的路由器裝置中,最新的兩個版本就占了接近一半。

Yandex認為,可能要等到Mēris殭屍網路發揮全部實力,或者是透過黑市兜售時,才能得知駭客的開採管道。

其實從今年的8月7日開始,Yandex就陸續遭到Mēris殭屍網路的5次攻擊,攻擊流量也從每秒520萬次請求、650萬次請求(8/9)、960萬次請求(8/29)、1,090萬次請求(8/31)到9月5日的2,180萬次請求(如下圖所示),雖然都被Yandex成功的阻擋,但Yandex也提醒,由此可看出Mēris的規模與成長速度之快。

圖片來源_Yandex


熱門新聞

Advertisement