Mạng botnet mới lây nhiễm 86.000 thiết bị để thực hiện tấn công từ chối dịch vụ

Một phần mềm độc hại botnet mới có tên 'Eleven11bot' đã lây nhiễm hơn 86.000 thiết bị IoT, chủ yếu là camera an ninh và đầu ghi video mạng (NVR), để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Mạng botnet này đã phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào các nhà cung cấp dịch vụ viễn thông và máy chủ trò chơi trực tuyến.

Eleven11bot đã được các nhà nghiên cứu của Nokia phát hiện và chia sẻ thông tin chi tiết với nền tảng giám sát mối đe dọa GreyNoise.

Nhà nghiên cứu bảo mật của Nokia, Jérôme Meyer nhận xét rằng, Eleven11bot là một trong những mạng botnet DDoS lớn nhất mà họ từng quan sát thấy trong những năm gần đây.

Ông Meyer tuyên bố trên mạng xã hội LinkedIn rằng, phần lớn các webcam và đầu ghi video mạng (NVR) bị xâm phạm, mạng botnet này đã phát triển nhanh chóng và vượt quá 30.000 thiết bị. Quy mô của nền tảng này là ngoại lệ trong số các botnet không thuộc sự quản lý của các tổ chức nhà nước, khiến nó trở thành một trong những chiến dịch botnet DDoS lớn nhất được biết đến kể từ tháng 02/2022.

Mới đây, nền tảng giám sát mối đe dọa The Shadowserver Foundation đã báo cáo đã phát hiện 86.400 thiết bị bị nhiễm botnet Eleven11bot, phần lớn ở Hoa Kỳ, Vương quốc Anh, Mexico, Canada và Úc.

Nhà nghiên cứu Meyer cho biết, các cuộc tấn công của botnet đã đạt tới khối lượng hàng trăm triệu gói mỗi giây và thời gian của chúng thường kéo dài nhiều ngày.

Nền tảng giám sát mối đe dọa GreyNoise với sự trợ giúp của Censys đã ghi lại 1.400 IP có liên quan đến hoạt động của botnet trong tháng qua, với 96% trong số đó đến từ các thiết bị thực (không phải giả mạo).

Phần lớn các địa chỉ IP đó có trụ sở tại Iran, trong khi hơn ba trăm địa chỉ được GreyNoise phân loại là độc hại.

GreyNoise báo cáo rằng, phần mềm độc hại này lây lan bằng cách dùng thủ thuật brute-force để tấn công thông tin đăng nhập của người dùng quản trị yếu hoặc phổ biến, tận dụng thông tin đăng nhập mặc định đã biết cho các mô hình IoT cụ thể và chủ động quét mạng để tìm các cổng Telnet và SSH bị lộ.

Được biết, tấn công brute-force là một kiểu thám mã có thể được áp dụng cho tất cả các hệ mật. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu.

GreyNoise đã công bố danh sách các địa chỉ IP được liên kết với Eleven11bot và xác nhận thực hiện các hành động độc hại, do đó, người bảo vệ được khuyến nghị thêm danh sách này vào danh sách chặn của họ và theo dõi các nỗ lực đăng nhập đáng ngờ.

Nhìn chung, nên đảm bảo rằng tất cả các thiết bị IoT đều chạy phiên bản chương trình cơ sở mới nhất, tắt tính năng truy cập từ xa nếu không cần thiết và thông tin đăng nhập tài khoản quản trị mặc định đã được thay đổi bằng thông tin đăng nhập mạnh cũng như duy nhất.

Nền tảng IoT thường không được các nhà cung cấp hỗ trợ lâu dài, do đó, việc kiểm tra định kỳ xem thiết bị của bạn đã hết vòng đời (EOL) hay chưa và thay thế những thiết bị đã hết vòng đời bằng các mẫu mới hơn là rất quan trọng.