İlk olarak bu yılın başlarında tespit edilen 250 bin virüslü sistemi yönetmesi ile internetteki en büyük Ddos botnet’i olarak kabul edilen Meris botneti, Rus telekom devi Rostelecom’un siber güvenlik bölümü olan Rostelecom-Solar tarafınan çöktürüldü.
Meris birkaç aydır, İngiltere, Rusya, ABD ve Yeni Zelanda gibi çeşitli ülkelerde internet servis sağlayıcılarına ve finansal kuruluşlara yönelik DDoS saldırıları ile takip ediliyordu. Saldırılar çok güçlüydü. Şirketler genellikle botnet’in katıksız gücü karşısında bunalmış durumda. Bu vahşi kampanyasının bir parçası olarak, Meris büyük hacimsel DDoS için haziran ve eylül başında rekor kırdı.
Cloudflare ve Qrator Labs gibi internet altyapısı firmaları, müşterilerine yönelik saldırıların ardından botnet’i analiz etti ve virüslü sistemlerin büyük çoğunluğunun yönlendiriciler, anahtarlar ve erişim noktaları gibi MikroTik ağ ekipmanı olduğunu buldu.
Geçen haftaki bir blog gönderisinde MikroTik, saldırganların, sahipleri tarafından güncellenmemiş cihazları kullanarak botnetlerini bir araya getirmek için RouterOS’larındaki eski bir güvenlik açığını (CVE-2018-14847) kötüye kullandığını söyledi.
Ancak Pazartesi günü yayınlanan araştırmada , Rostelecom-Solar, bazı müşterilerine de saldıran bu yeni tehdidin rutin analizi sırasında mühendislerinin, virüslü bazı yönlendiricilerin eriştiğini ve kozmosentry.com kayıtsız alan adından yeni talimatlar istediğini tespit ettiğini söyledi. Operatörün hatasını anlayan Rostelecom-Solar mühendisleri, bu domaini tescillediklerini ve onu bir “çöküş”e çevirdiklerini söylediler .
Günler süren takipten sonra araştırmacılar, yaklaşık 45.000 virüslü MikroTik cihazından ping aldıklarını söylediler; bu sayının botnet’in tüm boyutunun yaklaşık beşte biri olduğu tahmin ediliyor. Rostelecom-Solar, MikroTik yönlendirici sahiplerinin kozmosentry.com’a olan bu şüpheli bağlantıları algılaması durumunda, kendilerine alanın kime ait olduğunu ve yönlendiricilerinin neden bağlantıyı kurduğunu bildiren bir yer tutucu mesaj oluşturduklarını söyledi. Ayrıca araştırmacılar, Meris kötü amaçlı yazılım kodunda, bu botnet’in nasıl bir araya getirildiğine dair bir fikir veren ipuçları da belirlediklerini söyledi.
Rostelecom-Solar ekibine göre Meris botnet , Windows bilgisayarları hedef alan ve genellikle diğer çeşitli kötü amaçlı yazılım türleri için yükleyici olarak kullanılan bir kötü amaçlı yazılım türü olan Glupteba aracılığıyla bir araya getirilmiş gibi görünüyor .
Bununla birlikte, Glupteba çetesinin Meris botnet’i kendilerinin mi oluşturduğu yoksa başka bir grubun, sonunda Meris’in yaratılmasına yol açan MikroTik modülünü dağıtmak için Glupteba bulaşmış ana bilgisayarlara erişim kiralayıp mı kiraladığı şu anda belli değil.