Mēris, retenez ce nom. Il s’agit du plus gros botnet de l’histoire récente. En n’utilisant qu’un fraction de sa puissance de frappe, il a écrasé le record de la plus grosse attaque DDoS de l’histoire.

21,8 millions de requêtes par seconde, de quoi surcharger et faire tomber de gigantesques réseaux informatiques. Courant septembre, le moteur de recherche russe Yandex n’a cessé de subir des vagues de connexions malveillantes, jusqu’à ce pic de connexions, d’une ampleur jamais vue. Dans le jargon, on parle d’attaque par déni de service (ou DDoS) pour désigner ce genre d’actes malveillants. Les cybercriminels les lancent grâce à des botnets, des ensembles de machines corrompues qui obéissent à leur centre de commandes, et leur permettent de créer des effets de masse.

Après le pic inédit, Qrator Labs, l’entreprise russe en charge de protéger Yandex contre les attaques a mené son enquête, dont elle a publié les conclusions dans un billet de blog. Elle est remontée jusqu’à l’opérateur du botnet coupable de l’attaque, qu’elle a décidé de nommer Mēris (« la peste », en lettonien).

Image d'erreur

Avec un pic à 21,8 millions de requêtes par seconde, un nouveau record a été battu. // Source : Qrator

Le gang a avant tout comme objectif d’extorquer de l’argent. Il menace au préalable ses victimes par email : elles peuvent payer une rançon dans un certain délai ou alors le groupe déchaînera son botnet. Mēris se distingue par une puissance de frappe bien supérieure à celles observées ces dernières années, qui lui permet de s’en prendre à des groupes de grande taille, avec de larges infrastructures.

L’avantage pour les cybercriminels, c’est que ce genre de victime ne peut pas se permettre, d’un point de vue économique, de passer hors ligne. Résultats : elles seront plus enclines à payer la rançon demandée en cryptomonnaies.

Un « botnet d’un nouveau genre »

Qrator Labs décrit son opposant comme un « botnet d’un nouveau genre », et s’inquiète qu’il puisse « surcharger n’importe quelle infrastructure ». Habituellement, les DDoS consistent à lancer du trafic pour dépasser le nombre de connexions que peut encaisser un serveur. Le flux (mesuré en gigaoctets par seconde) devient trop important, et finit par couper le serveur d’internet.

Les attaques lancées par Mēris sont d’un autre genre : le « RPS » (requêtes par seconde). Elles consistent à envoyer des requêtes dont le but est de surcharger la capacité de calcul d’un serveur, et d’ainsi faire surchauffer sa mémoire et son CPU, deux composants au cœur du fonctionnement des ordinateurs. Autrement dit, les requêtes vont aspirer la capacité de calcul de la machine jusqu’à ce qu’il ne puisse plus encaisser de requête supplémentaire et tombe en panne.

Le botnet n’a utilisé qu’un huitième de sa force de frappe

Le pire dans l’histoire, c’est que Mēris n’utiliserait qu’une petite fraction de sa puissance de frappe. Le pic de requête a été atteint par la coordination de 30 000 machines. Problème : Qrator estime que le botnet compte en réalité plus de 250 000 machines, soit plus de 8 fois de plus. C’est une taille réellement impressionnante : les botnets récents dépassent rarement les 50 000 machines. Autrement dit, Mēris se ménage, probablement pour ne pas trop attirer l’attention des autorités.

Les chercheurs suspectent les appareils corrompus de tous être du même petit constructeur lettonien, MikroTik. Ce serait des machines de relativement grosses tailles, branchées à des connexions internet performantes, là où le plus souvent les machines qui composent les botnets sont des appareils connectés peu puissants, connectés à un réseau Wi-Fi. L’entreprise n’a pas encore réagi à cette hypothèse.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.