俄羅斯電信巨頭 Rostelecom 旗下網路安全部門 Rostelecom-Solar 週一表示，發現並利用惡意軟體創建者的一個紕漏，成功封鎖了 Meris DDoS 殭屍網路部分設備。 Meris 殭屍網路在今年早些時候首次被發現，是目前互聯網上最大的 DDoS 殭屍網路，其規模估計約為 25 萬個受感染的系統。

在過去幾個月里，該殭屍網路被攻擊者濫用，對俄羅斯、英國、美國和紐西蘭等幾個國家的互聯網服務提供者和金融實體進行了 DDoS 勒索攻擊。 由於這些勒索攻擊，很多公司因為殭屍網路的巨大威力而被迫下線。 其中最兇猛的幾次攻擊，Meris 今年兩次打破了最大容量 DDoS 攻擊的記錄，一次是在 6 月，另一次是在 9 月。

Cloudflare 和 Qrator 實驗室等互聯網基礎設施公司在其客戶受到攻擊后對該殭屍網路進行了分析，發現絕大多數受感染的系統都是 MikroTik 網路設備，如路由器、交換機和接入點。

在上周的一篇博文中，MikroTik表示，攻擊者濫用了其RouterOS中的一個舊漏洞（CVE-2018-14847），利用業主尚未更新的設備組裝了他們的殭屍網路。

但在週一發表的研究報告中，Rostelecom-Solar 表示，在對這種新的威脅（也一直在攻擊其一些客戶）進行例行分析時，其工程師發現，一些受感染的路由器正在向一個未註冊的功能變數名稱 cosmosentry[.com] 伸出援手，要求提供新的指令。

Rostelecom-Solar的工程師說，他們抓住了運營商的錯誤，註冊了這個功能變數名稱並將其轉化為一個”天坑”（sinkhole）。 經過幾天的追蹤，研究人員說他們收到了來自約 45000 台受感染的 MikroTik 設備的 ping，這個數字估計約為殭屍網路整個規模的五分之一。

該公司本周說：「不幸的是，我們不能對我們控制下的設備採取任何積極行動（我們沒有權力這樣做）。 目前，大約 45，000 台 MikroTik 設備轉向我們的天坑域”

為了防止MikroTik路由器擁有者檢測到這些與cosmosentry[.] com的可疑連接，Rostelecom-Solar表示，他們已經設置了一個佔位符資訊，告知他們誰擁有這個功能變數名稱以及為什麼他們的路由器會進行連接。

此外，研究人員表示，他們還在Meris惡意軟體的代碼中發現了一些線索，這些線索也讓人瞭解到這個殭屍網路是如何被組裝起來的。 根據 Rostelecom-Solar 團隊的說法，Meris殭屍網路似乎是通過Glupteba組裝的，這是一種針對Windows電腦的惡意軟體，通常被用作其他各種惡意軟體的載入器。

Meris代碼的相似性以及許多使用內部IPping Rostelecom天坑的路由器證實了該公司的理論，即Meris是通過Glupteba惡意軟體完全或部分組裝的。 然而，目前還不清楚是Glupteba團夥自己建立了Meris殭屍網路，還是另一個團夥租用了Glupteba感染的主機來部署MikroTik模組，最終產生 Meris。