Qu'est-ce que le botnet Meris ?

Le botnet Meris est une opération de botnet incroyablement puissante qui a battu des records en 2021 et 2022 en termes de taille des attaques DDoS qu'il a menées. Meris s'est également fait remarquer pour le nombre de terminaux infectés dont il a pu prendre le contrôle (environ 250 000 routeurs) et pour le volume de demandes qu'il a pu envoyer, jusqu'à 46 millions de demandes par seconde (RPS) lors d'une attaque sur Google en 2022.

Qu'est-ce qu'un botnet ?

Le terme botnet est l'abréviation de « réseau de robots », un groupe d'ordinateurs ou de terminaux infectés par des logiciels malveillants qui leur permettent d'être contrôlés par des cybercriminels. Les botnets peuvent contenir des dizaines de milliers de terminaux qui peuvent être utilisés pour lancer des cyberattaques coordonnées. Les botnets sont couramment utilisés pour envoyer des spams, voler des informations de carte bancaire, participer à des campagnes de fraude au clic et générer d'énormes quantités de trafic malveillant pour les attaques DDoS.

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est conçue pour inonder une machine ou un réseau de trafic malveillant, ce qui l'empêche de répondre à des requêtes légitimes et la rend inaccessible aux utilisateurs légitimes. Les attaques DDoS ciblent fréquemment le site Web, les applications Web, les API, le réseau, le centre de données, ou l'infrastructure DNS des entreprises. Les pirates informatiques peuvent mener des attaques DDoS afin d'extorquer une entreprise, de détourner l'attention des équipes de sécurité d'autres formes de cyberattaques, de se venger, de faire une déclaration politique ou uniquement à des fins de divertissement.

Comment fonctionne le botnet Meris ?

Le botnet DDoS Meris exploite une vulnérabilité dans le système d'exploitation (RouterOS) des routeurs fabriqués par la société lettone MikroTik, qui produit également des points d'accès Wi-Fi, des passerelles IoT, des commutateurs et d'autres équipements. « Meris » est le mot letton pour désigner la peste.

Pour mener à bien des attaques DDoS, Meris concentre les attaques volumétriques sur la couche applicative. Le botnet Meris envoie un volume considérable de RPS à un serveur cible pour surcharger sa capacité de ressources de CPU et de mémoire. Avec plus de 250 000 routeurs sous son contrôle, le botnet peut facilement lancer des attaques DDoS volumétriques de plusieurs térabits qui peuvent battre tous les records pour la taille d'une attaque.

Les experts pensent que les pirates peuvent envoyer des requêtes depuis d'autres terminaux vers les routeurs infectés afin de dissimuler l'origine de l'attaque. Le botnet Meris utilise également le pipeline HTTP , qui permet à une seule connexion de transmettre plusieurs requêtes sans avoir à attendre qu'un serveur envoie une réponse, ce qui contribue à renforcer le RPS du botnet.

Pour créer un botnet plus puissant, il semblerait que Meris ait abusé d'une vulnérabilité corrigée des terminaux MikroTik (CVE-2018-14847) et reconfiguré le système d'exploitation utilisé par les routeurs MikroTik pour permettre l'accès à distance. Cette attaque a réussi même avec certains routeurs MikroTik corrigés, car pour empêcher les routeurs de faire partie du botnet, les équipes de sécurité devaient également modifier le mot de passe et mettre à jour le pare-feu.

Quelle est la puissance du botnet Meris ?

En 2021, les chercheurs ont estimé que le botnet Meris comprenait plus de 250 000 terminaux, et que plus de 40 000 terminaux supplémentaires étaient encore exposés à cette vulnérabilité. La taille du botnet Meris lui permet de pénétrer des réseaux massifs, tels que des fournisseurs d'accès Internet (FAI).

Avec plus de 250 000 terminaux, la capacité maximale du système Meris pourrait représenter un record de 110 millions de requêtes par seconde. En comparaison, la précédente attaque DDoS la plus importante mesurée de l'histoire ne disposait que de 20 % des capacités du système Meris.

Le botnet Meris a dépassé l'un des botnets les plus célèbres, Mirai, qui a infecté des centaines de milliers de terminaux IoT. Cependant, Mirai a été limité par la faible puissance de calcul et les capacités réseau limitées des terminaux IoT. En revanche, Meris utilise une armée de routeurs dotés d'une puissance de traitement bien plus élevée et de meilleures capacités de transfert de données que les terminaux IoT. La technologie sous-jacente du botnet Meris laisse penser que ses pirates ont accès à une puissance de calcul considérable et à un réseau Ethernet à haut débit, ce qui fait de Meris une menace bien plus redoutable pour les entreprises qui ne bénéficient pas d'une protection contre les attaques DDoS dans le cloud.

Quelles entreprises ont été ciblées ?

Le botnet Meris a été utilisé pour cibler un large éventail d'entreprises. Le grand nombre d'attaques ont été dirigées contre des entreprises du secteur bancaire, des services financiers et de l'assurance (BFSI). Parmi les attaques notables, on peut citer :

Une attaque contre Krebs on Security qui a atteint plus de 2 millions de RPS
Attaques suspectées sur le moteur de recherche Yandex
Une attaque présumée sur la société cloud CloudFlare, qui a enregistré 17,2 millions de RPS
Une attaque présumée en juin 2022 contre Google qui est passée de 100 000 RPS à 46 millions de RPS en une heure, ce qui en fait la plus grande attaque DDoS de couche 7 jamais signalée

Comment les entreprises peuvent-elles se défendre contre le botnet Meris ?

Pour se protéger contre le botnet Meris et d'autres attaques DDoS, les équipes de sécurité peuvent déployer plusieurs couches de protection dans leur cybersécurité, y compris un pare-feu DNS, une protection d'API, un pare-feu d'applications Web et des solutions complètes de protection contre les attaques DDoS avec une capacité de défense dédiée pour bloquer les attaques à la périphérie du réseau d'une entreprise avant qu'elles n'entraînent des dommages. Les solutions de sécurité doivent inclure la protection des sites Web, des applications, des API, de l'infrastructure DNS (y compris les serveurs de noms DNS faisant autorité, GSLB, etc.) et de l'infrastructure réseau.

Une puissante solution de protection contre les attaques DDoS doit offrir une approche complète qui utilise une capacité de défense dédiée, des workflows d'atténuation automatisés, une combinaison d'intelligence machine et humaine et la flexibilité de déploiement sur site, dans le cloud ou hybride pour une protection DDoS complète et efficace.

Foire aux questions (FAQ)

Un botnet, ou réseau de robots, est un réseau d'ordinateurs infectés par des logiciels malveillants qui permettent aux cybercriminels de les contrôler. La personne qui contrôle le botnet est appelée « botmaster » et chaque machine infectée est appelée un bot. Les botnets peuvent comprendre des ordinateurs, des serveurs, des terminaux IoT (Internet des objets) et d'autres types de machines.

Pour lancer des attaques de botnet, un botmaster envoie des commandes aux bots à partir d'un serveur de commande et de contrôle, en les incitant à effectuer des actions telles que l'analyse d'autres machines à la recherche de vulnérabilités, la diffusion de logiciels malveillants, la propagation de ransomwares, le minage des cryptomonnaies, l'achat de billets pour les revendeurs de billets au noir, l'envoi d'e-mails de hameçonnage et de spam ou l'offre de services de stress de sites Web.

Un « booter » ou « stresser » de site Web est un service DDoS prêt à l'emploi qui permet aux pirates informatiques peu expérimentés et disposant de peu de ressources de mener néanmoins des attaques dévastatrices contre une cible. Les « stressers » de sites Web sophistiqués sont configurés en tant qu'offres SaaS (Logiciel en tant que service), avec des versions d'essai gratuites, des didacticiels vidéo, une assistance par e-mail et des offres par abonnement à partir de 20 $ par mois.

Pourquoi les clients choisissent-ils Akamai ?

Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de Cloud Computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité.

Produits connexes

Bot Manager

Bloquez les bots les plus dangereux et les plus sournois avant qu'ils n'érodent la confiance des clients.

Account Protector

Bloquez les fraudeurs et préservez la confiance en vous protégeant contre le piratage de comptes.

App & API Protector

Une sécurité tout-en-un et sans compromis des sites Web, des applications et des API.

Content Protector

Arrêtez les extracteurs persistants grâce à des techniques de détection personnalisées. Protégez votre contenu Web et votre potentiel de revenus.

Ressources supplémentaires

Fraud and Abuse Report 2025: Charting a Course Through AI's Murky Waters

Découvrez les régions et les secteurs qui ont été les plus touchés par un flot de bots d'IA dans le monde, et découvrez comment garder une longueur d'avance sur leurs tactiques créatives de fraude.

Télécharger le rapport

Votre confiance envers le Web est émoussée ? La gestion des bots peut vous aider.

MP_28132_Platform_Nov20_SocialPosts_TurnChangeIntoYourCompetetiveEdge_v1-1

Face à la montée en puissance des bots, les solutions de gestion de bots sont devenues une priorité absolue pour les équipes de sécurité du monde entier. Apprenez à distinguer les bots légitimes des bots malveillants, et découvrez comment votre entreprise peut anticiper les attaques.

Lire le blog