Компанія» ростелеком-солар”, що спеціалізується на питаннях кібербезпеки, виявила і запобігла спробі зловмисників залучити більше 45 тисяч пристроїв в ботнет meris. Експерти вважають, що саме він використовувався для рекордної ddos-атаки на «яндекс». Передбачається, що в даний момент meris налічує близько 200 тисяч пристроїв. Таким чином,» ростелеком-солар ” запобігла збільшенню ботнету на 20 %.

Therecord.media

Фахівці компанії отримали і проаналізували команди, що використовуються для управління зараженими пристроями. Вони визначили, що заражені маршрутизатори mikrotik зверталися до незареєстрованого домену і запитували нові інструкції за адресою cosmosentry.com. Інженери “ростелеком-солар” зареєстрували цей домен і розмістили на ньому повідомлення, що інформує користувачів про те, хто володіє доменом і чому маршрутизатор встановив це з’єднання.

Фахівці “ростелеком-солар” також змогли ідентифікувати географічне місце розташування пристроїв, схильних до атаки. За даними компанії, більше 20 % з них знаходяться в бразилії. У топ-5 країн за кількістю заражених роутерів увійшли україна, індонезія, польща та індія. На росію припало менше 4 %.

Therecord.media

«ростелеком-солар» вважає, що ботнет meris був створений за допомогою вірусу glupteba, націленого на комп’ютери, що працюють під управлінням windows. Зазвичай він використовується як завантажувач для інших шкідливих програм. В даний час невідомо, чи замішані творці glupteba в створенні ботнету meris.