Jeśli macie w domu kamerę internetową lub rejestrator wideo, może on stać się częścią ogromnej sieci botnetowej, która właśnie przeprowadza rekordowe ataki DDoS.
Nowo wykryty botnet, nazwany Eleven11bot, składa się z tysięcy zainfekowanych urządzeń, głównie kamer i rejestratorów pochodzących od Shenzhen TVT-NVMS 9000. Choć ataki nie wydają się być zlecone przez państwo, są niezwykle destrukcyjne – niektóre cele zgłaszają zakłócenia trwające nawet tydzień.
Największy atak DDoS w historii
Zespół badaczy bezpieczeństwa z Nokii zidentyfikował Eleven11bot po nagłym wzroście liczby ataków DDoS pod koniec lutego. W szczytowym momencie botnet osiągnął przepustowość 6,5 terabita na sekundę (Tb/s), bijąc dotychczasowy rekord 5,6 Tb/s odnotowany w styczniu przez Cloudflare.
W sumie sieć botnetu obejmuje około 30 000 zainfekowanych urządzeń, przy czym największa ich liczba (24,4%) znajduje się w Stanach Zjednoczonych.
W sumie sieć botnetu obejmuje około 30 000 zainfekowanych urządzeń, przy czym największa ich liczba (24,4%) znajduje się w Stanach Zjednoczonych. Chociaż nie jest to największy botnet w historii, przeprowadził on największy atak wolumetryczny, zalewając sieci ogromnymi ilościami danych, aby uniemożliwić ich funkcjonowanie.
Jak działa Eleven11bot?
Ataki DDoS mogą przybierać różne formy, ale Eleven11bot stosuje tzw. ataki hipervolumetryczne, które zalewają sieci ogromnym ruchem, powodując ich przeciążenie. Celami ataku stali się dostawcy usług internetowych, ale również serwery hostujące gry online i infrastruktura telekomunikacyjna. W niektórych przypadkach usługi były niedostępne przez kilka dni, co powodowało poważne zakłócenia dla użytkowników i firm.
Według badań Nokii, adresy IP biorące udział w atakach wcześniej nie były kojarzone z działalnością DDoS, co czyni Eleven11bot szczególnie niebezpiecznym. Podobna skala infekcji miała miejsce w 2022 roku, po rosyjskiej inwazji na Ukrainę, kiedy wykryto około 60 000 zainfekowanych urządzeń.
Rozbieżności w szacunkach dotyczących liczby zainfekowanych urządzeń są znaczne. Nokia twierdzi bowiem, że botnet liczy 30 000 urządzeń, Shadowserver Foundation podaje liczbę 86 000, a według Greynoisebotnet obejmuje mniej niż 5 000 urządzeń, z największym ruchem pochodzącym z Iranu (61%).
Eksperci z Greynoise sugerują, że Eleven11bot to nowy wariant słynnego Mirai – złośliwego oprogramowania, które od 2016 roku infekuje urządzenia Internetu Rzeczy (IoT), przejmując nad nimi kontrolę poprzez domyślne hasła i luki w oprogramowaniu. Nowa wersja Eleven11bot prawdopodobnie wykorzystuje świeżo odkrytą lukę w rejestratorach wideo Shenzhen TVT-NVMS 9000 opartych na chipach HiSilicon.
Jak się chronić przed Eleven11bot?
Aby uniknąć infekcji i zabezpieczyć swoje urządzenia IoT przed wykorzystaniem w botnetach takich jak Eleven11bot, eksperci zalecają:
- Wyłączenie zdalnej administracji, jeśli nie jest konieczna
- Zmianę domyślnych haseł na silne, unikalne kombinacje
- Umieszczenie urządzeń IoT za zaporą sieciową (firewallem)
- Regularne aktualizowanie oprogramowania firmware, aby łatać potencjalne luki
Pokaż / Dodaj komentarze do: Uwaga właściciele kamer i rejestratorów. Nowy botnet przeprowadza ataki DDoS na wielką skalę