En juin 2021, un nouveau botnet, composé de routeurs MikroTik non patchés, a fait son apparition. Surnommé Mēris par les chercheurs en sécurité qui l’ont signalé pour la première fois, ce botnet IoT a lancé de nombreuses attaques DDoS HTTP et HTTP/S au niveau des applications, et ce contre plusieurs cibles dans le monde, notamment Krebs On Security et Yandex.
Tribune NETSCOUT – Selon certains, il existe environ 250 000 routeurs MikroTik non corrigés, qui peuvent donc potentiellement être compromis et intégrés dans des botnets DDoS comme Mēris.
Sur la base d’une analyse des routeurs MikroTik identifiables utilisés pour lancer des attaques DDoS au cours des quatre derniers mois, l’ATLAS Security Engineering & Response Team (ASERT) de NETSCOUT a découvert qu’il existe en fait au moins deux botnets distincts impliqués dans ces attaques.
Les chercheurs de NETSCOUT ont surnommé le deuxième botnet Dvinis, ce qui signifie « jumeau » en letton (Mēris voulant dire peste dans cette langue). La principale différence entre eux est l’utilisation du pipeline HTTP comme forme d’attaque. Mēris tire parti de cette méthode d’attaque, contrairement à Dvinis. Les deux botnets tentent activement de se propager ; l’ASERT surveille ainsi actuellement environ 4 800 Mēris et 3 500 Dvinis botnets.
Un article de blog, en anglais, est disponible pour en savoir plus sur ces attaques et comment y faire face.