러시아 보안 기업인 큐레이터랩(QratorLabs)과 검색 기업 얀덱스(Yandex) 공동 연구로 2016년 이후 5년이 지나 대규모 디도스 공격을 2021년에 부활시킨 메리스(Mēris)라는 봇넷 존재가 지적되고 있다.
이에 따르면 최근 5년간 애플리케이션에 대한 공격은 전 세계적으로 사실상 발생하지 않았다. 하지만 봇넷이 무해하게 된 건 아니며 5년에 걸쳐 네트워크 계층 공격을 익혀 돌아왔다는 것. 신종 봇넷인 메리스가 관측되게 된 건 2021년 6월부터 수만 개 호스트 장치가 확인되고 있다. 장치는 로테이션으로 이용되고 있으며 전력으로 단숨에 공격을 한 적이 없기 때문에 전체상은 불분명하지만 20만 대 이상이 포함되어 있다고 볼 수 있다.
일부에서 이 봇넷은 2016년 사상 공전 규모로 디도스 공격을 한 미라이(Mirai) 봇넷 귀환이라고 표현되어 있지만 큐레이터랩은 다소 부정적인 견해를 갖고 있다. 그 이유 중 하나는 봇넷을 구성하고 있는 라트비아 네트워크 장비 제조사인 미크로틱(Mikrotik) 제품 뿐이라는 점을 들고 있다. 이 때문에 봇넷에 라트비아어로 전염병을 의미하는 메리스 명칭을 부여한 것이다.
메리스 봇넷에서 확인된 건 디도스 공격에 HTTP 파이프라인 기술을 사용하고 있다는 것. 디도스 공격 자체를 RPS 기준으로 할 때 피해 단말 5678번 포트를 개방한다. 보도에 따르면 지금까지 디도스 공격은 bps에서 측정되는 대역폭 공격으로 대상에 대해 많은 정크 트래픽을 보내버린다. 하지만 RPS 공격은 볼륨 공격에서 대상 서버로 대량 요청을 보내 버려 처리하게 해 자원을 점유하고 마지막으로 서버에 충돌시키는 걸 목적으로 하고 있다. 2021년 여름 발생한 디도스 공격 이전 RPS 기반 공격은 이만한 규모가 보이지 않았다고 한다.
미크로틱 제품에 큰 피해가 있는 건 어떤 취약 영향인지는 알려져 있지 않지만 포럼에서 라우터 운영체제가 2017년 출시 버전 6.40.1이라는 해킹 피해가 많은 것으로 나타나고 있다. 한편 얀덱스가 수집한 데이터는 비교적 새로운 버전에서도 피해를 당하고 있다는 걸 알 수 있다.
큐레이터랩이 보여준 피해 단말기 라우터 운영체제 분포를 보면 최신 안정 버전이 6.48.4인데 비해 가장 많았던 게 이전 버전인 6.48.3이므로 펌웨어가 최신 취약성 대책이 이뤄지지 않기 때문에 피해를 받고 있다고 밝히고 있다.
큐레이터랩은 클라우드플레어에서 검출된 초당 1,720만 요청 디도스 공격을 비롯한 2021년 초 ㅇ여름에 여러 국가에서 발생한 대규모 디도스 공격을 메리스 봇넷에 의한 것이라고 생각하고 있다는 것. 메리스 봇넷은 거대한 RPS에 의해 강력한 인프라조차 압도할 수 있다고 한다.
클라우드플레어가 발견한 초당 1,720만 요청도 전대미문 규모지만 얀덱스에 따르면 2021년 9월 5일 받은 공격은 초당 2,180만 요청으로 더 컸다고 한다. 안덱스에 대한 공격을 분석해 공격 소스는 모두 2,000번과 5678번 포트가 개방되어 있는 걸 확인했다고 한다. 이 중 5678번 포트는 미크로틱 탐색 프로토콜을 위한 UDP에서 사용하는 것이지만 피해 단말에선 TCP에서 사용되고 있었다고 한다.
정보를 바탕으로 큐레이터랩은 TCP로 개방되는 5678번 포트를 조사한 결과 인터넷에 32만 8,723 활성 호스트가 존재하고 있었다며 모두 피해 단말이라고 할 수 없지만 이는 메리스 봇넷 전체일 가능성을 상정해야 한다고 밝히고 있다.
큐레이터랩에 따르면 해당 단말 본포는 미국 13만 9,930으로 42.6%, 중국 6만 1,994개 18.9%, 브라질 9,244개 2.8% 순이다. 큐레이터랩은 이 결과를 미크로틱에 밝혀 네트워크 장치는 항상 최신 펌웨어로 업데이트하라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.