„Atacuri hiper-volumetrice” au copleșit rețelele cu trafic de până la 6,5 TBPS
Pe scurt: Nu te uita acum, dar înregistratorul tău video ar putea face parte dintr-un botnet masiv care scoate atacuri DDO-uri susținute record. Rețeaua implică webcam -uri și DVR -uri Shenzhen compromise. Atacurile nu par sponsorizate de stat, dar sunt foarte perturbatoare, unele victime raportând refuzul atacurilor de serviciu care durează zile întregi.
Cercetătorii de securitate Nokia urmăresc un botnet, denumit Eleven11Bot, care a furnizat ceea ce este probabil cel mai mare atac de refuz direcționat de serviciu înregistrat vreodată. Se estimează că 30.000 de camere web și înregistratoare video alcătuiesc masivul botnet. Rețeaua este internațională, dar Nokia spune că cea mai mare concentrare a dispozitivelor compromise (24,4%) se află în Statele Unite. Deși nu a fost cel mai mare botnet înregistrat vreodată, a eliminat cel mai mare atac observat vreodată, atingând maxim 6,5 terabite pe secundă, depășind recordul anterior de 5,6 TBP -uri stabilite în ianuarie, potrivit Cloudflare.
Echipa de răspuns de urgență Deepfield de la Nokia a detectat Eleven11Bot după ce o creștere a adreselor IP dispersate geografic a lansat mai multe „atacuri hiper-volumetrice” la sfârșitul lunii februarie. Spre deosebire de atacurile DDO -uri exhaustive tradiționale care vizează resursele serverului, atacurile volumetrice rețele de inundații cu cantități masive de date pentru a copleși capacitatea de lățime de bandă. Atacurile hiper-volumetrice ale Eleven11Bot au vizat furnizorii de servicii de comunicare, infrastructura de găzduire a jocului și alte sectoare, provocând perturbări care au durat prea mult pe săptămână în unele cazuri.
Cercetătorul de securitate Nokia, Jérôme Meyer, a menționat că majoritatea adreselor IP implicate în aceste atacuri nu au fost asociate anterior cu activitatea DDOS, ceea ce face ca apariția bruscă a Eleven11Bot să fie în special în ceea ce privește. El a subliniat, de asemenea, că ultima botnet comparabilă a acestei scări a fost observată în 2022, la scurt timp după invazia rusă a Ucrainei, cu aproximativ 60.000 de dispozitive infectate.
„Acest botnet este mult mai mare decât ceea ce obișnuim să vedem în atacurile DDOS”, a spus Meyer. „Intensitatea atacului a variat mult, variind de la câteva sute de mii la câteva sute de milioane de pachete pe secundă (PPS).”
În timp ce Nokia a estimat inițial că BotNet -ul este format din aproximativ 30.000 de dispozitive, Fundația ShadowServer nonprofit a revizuit această cifră la peste 86.000. În schimb, firma de securitate Greynoise a combătut cu o estimare mult mai mică de mai puțin de 5.000 de dispozitive, cu cea mai mare activitate IP (61%) originară din Iran. Meyer a spus că cifra lui Shadowserver a fost probabil o supraestimare datorită modului în care a identificat dispozitivele infectate, presupunând greșit că informațiile unice ale dispozitivului însemna că un dispozitiv a fost compromis. El rămâne încrezător în estimarea echipei sale, deoarece atacurile repetate provin din aceleași 20.000-30.000 de adrese IP observate.
Cercetătorii din Greynoise consideră că Eleven11Bot este o nouă variantă a Mirai, malware-ul infam care a apărut pentru prima dată în 2016. Botnetele bazate pe Mirai infectează de obicei dispozitivele Internet of Things (IoT) prin exploatarea acredităților implicite sau a vulnerabilităților software. Cercetătorii consideră că varianta Eleven11Bot folosește o exploatare recent descoperită pentru a compromite Shenzhen TVT-NVMS 9000 înregistratoare video digitale care rulează pe cipurile Hisilicon.
Pentru a proteja împotriva unsprezece11Bot sau orice alt botNet, experții recomandă plasarea dispozitivelor IoT în spatele firewall -urilor, dezactivarea administrării la distanță atunci când nu este nevoie și asigurarea dispozitivelor au parole puternice și unice. Actualizările obișnuite ale firmware -ului sunt, de asemenea, esențiale pentru a -și exploata vulnerabilitățile pe care le -ar putea exploata botnete precum Eleven11Bot.
