Cyberthreat.id – Muncul botnet baru yang dipakai untuk serangan Distributed Denial-of-Service (DDoS) ke raksasa mesin pencari asal Rusia, Yandex.

Selama sebulan terakhir raksasa perusahaan internet itu diserang Mēris dengan volume tertinggi sebesar 21,8 juta permintaan per detik (RPS)—serangan yang belum pernah terjadi sebelumnya, tulis BleepingComputer, diakses Jumat (10 September 2021).

Botnet tersebut mendapatkan kekuatan dari puluhan ribu perangkat yang telah terinfeksi. Peneliti menilai Mēris kemungkinan besar telah meginfeksi perangkat-perangkat di jaringan yang sangat kuat.

Serangan DDoS ke Yandex yang terungkap pekan ini menandai serangan terbesar dalam sejarang internet Rusia (RuNet).

Dari penyelidikan Yandex, serangan pada server-nya mengandalkan sekitar 56.000 host (perangkat). Namun, mitranya, Qrator Labs lain mengindikasikan bahwa jumlah perangkat yang terinfeksi untuk serangan itu mungkin mendekati 250.000.

“Jumlah perangkat yang terinfeksi, menurut internal botnet yang kami lihat, mencapai 250.000,” tutur Qrator Labs.

Menurut Qrator Labs, perangkat-perangkat yang terinfeksi bukanlah perangkat IoT yang terkoneksi ke WiFi, tetapi perangkat berkemampuan tinggi yang memerlukan koneksi Ethernet.

Mēris adalah botnet yang sebelumnya juga dimitigasi perusahaan keamanan siber Cloudflare dengan catatan volume serangan 17,2 juta permintaan per detik (RPS).

Kini, Mēris memecahkan rekor tersebut saat memukul Yandex dengan kekuatan 21,8 juta permintaan per detik pada 5 September lalu.

Jejak pukulan Mēris di Yandex dimulai pada awal Agustus dengan serangan 5,2 juta permintaan per detik pada 7 Agustus. Lalu, meningkat menjadi 6,5 juta RPS pada 9 Agustus; 9,6 juta RPS pada 29 Agustus;10,9 juta RPS pada 31 Agustus; dan terakhir 21,8 juta RPS pada 5 September.

Untuk menyebarkan serangan, Qrator Labs mengatakan bahwa Mēris mengandalkan proxy SOCKS4 di perangkat yang disusupi, menggunakan teknik DDoS pipelining HTTP, dan port 5678.

Adapun perangkat yang disusupi yang digunakan, Qrator Labs mengatakan bahwa mereka terkait dengan MikroTik, pembuat peralatan jaringan Latvia untuk bisnis dari semua ukuran.

Sebagian besar perangkat penyerang memiliki port terbuka 2000 dan 5678. Yang terakhir menunjuk ke peralatan MikroTik, yang menggunakannya untuk fitur penemuan tetangga (MikroTik Neighbor Discovery Protocol).

Qrator Labs menemukan bahwa meskipun MikroTik menyediakan layanan standarnya melalui User Datagram Protocol (UDP), perangkat yang disusupi juga memiliki Transmission Control Protocol (TCP) terbuka.

Penyamaran semacam ini mungkin menjadi salah satu alasan perangkat diretas tanpa diketahui oleh pemiliknya,” ujar Qrator Labs percaya.

Saat mencari di internet publik untuk port TCP terbuka 5678, lebih dari 328.000 host merespons. Jumlahnya tidak semua perangkat MikroTik, karena peralatan LinkSys juga menggunakan TCP pada port yang sama.

Port 2000 adalah untuk "server uji Bandwidth," kata para peneliti. Saat terbuka, ia membalas koneksi yang masuk dengan tanda tangan yang dimiliki oleh protokol RouterOS MikroTik.

MikroTik telah diberitahu tentang temuan tersebut dan mengatakan bahwa mereka tidak menyadari kerentanan baru membahayakan produknya.

Mereka juga menjelaskan banyak perangkatnya terus menjalankan firmware lama sehingga rentan terhadap masalah keamanan yang dieksploitasi secara besar-besaran yang dilacak sebagai CVE-2018-14847, tapi telah ditambal pada April 2018.

Versi RouterOS yang disusupi Mēris sangat bervariasi dan mencakup perangkat yang menjalankan versi firmware yang lebih baru, seperti versi stabil saat ini (6.48.4) dan pendahulunya, 6.48.3.[]