Jaringan yang baru ditemukan botnet terdiri dari sekitar 30.000 webcam dan perekam video – dengan konsentrasi terbesar di AS – telah memberikan apa yang mungkin menjadi yang terbesar serangan penolakan layanan Pernah melihat, seorang peneliti keamanan di dalam Nokia mengatakan.
Botnet, dilacak dengan nama Eleven11Bot, pertama kali terungkap pada akhir Februari ketika para peneliti di dalam tim tanggap darurat Nokia’s Deepfield diamati Sejumlah besar alamat IP yang tersebar secara geografis memberikan “serangan hiper-volumetri.” Eleven11Bot telah memberikan serangan skala besar sejak itu.
Volumetric Ddoses menutup layanan dengan mengonsumsi semua bandwidth yang tersedia baik di dalam jaringan yang ditargetkan atau koneksi ke Internet. Pendekatan ini bekerja secara berbeda dari kelelahan ddoses, yang terlalu banyak menggunakan sumber daya komputasi server. Serangan hipervolumetrik adalah ddosis volumetrik yang memberikan jumlah data yang mengejutkan, biasanya diukur dalam terabit per detik.
Johnny-come-lately botnet menetapkan rekor baru
Pada 30.000 perangkat, sebelas orang sudah sangat besar (meskipun beberapa botnet melebihi Lebih dari 100.000 perangkat). Sebagian besar alamat IP yang berpartisipasi, peneliti Nokia Jérôme Meyer mengatakan kepada saya, belum pernah terlihat terlibat dalam serangan DDOS.
Selain botnet 30.000-simpul yang tampaknya muncul dalam semalam, fitur lain yang menonjol dari Eleven11Bot adalah volume data ukuran rekaman yang dikirimkan targetnya. Yang terbesar Nokia telah terlihat dari Eleven11Bot sejauh ini terjadi pada 27 Februari dan memuncak sekitar 6,5 terabit per detik. Catatan sebelumnya untuk serangan volumetrik adalah dilaporkan pada bulan Januari di 5,6 tbps.
“Eleven11Bot telah menargetkan beragam sektor, termasuk penyedia layanan komunikasi dan infrastruktur hosting game, memanfaatkan berbagai vektor serangan,” tulis Meyer. Sementara dalam beberapa kasus serangan didasarkan pada volume data, yang lain fokus pada banjir koneksi dengan lebih banyak paket data daripada yang dapat ditangani oleh koneksi, dengan angka mulai dari “beberapa ratus ribu hingga beberapa ratus juta paket per detik.” Degradasi layanan yang disebabkan dalam beberapa serangan telah berlangsung beberapa hari, dengan beberapa tetap berkelanjutan pada saat posting ini ditayangkan.
Kerusakan menunjukkan bahwa konsentrasi alamat IP terbesar, pada 24,4 persen, terletak di AS. Taiwan berikutnya di 17,7 persen, dan Inggris sebesar 6,5 persen.
Dalam wawancara online, Meyer membuat poin berikut:
- Botnet ini jauh lebih besar dari apa yang biasa kita lihat dalam serangan DDOS (satu -satunya preseden yang ada dalam pikiran saya adalah serangan dari tahun 2022 tepat setelah invasi Ukraina, di ~ 60k bot, tetapi tidak publik).
- Sebagian besar IPS tidak terlibat dalam serangan DDOS sebelum minggu lalu.
- Sebagian besar IP adalah kamera keamanan (Sensys mengira Hisilicon, saya melihat banyak sumber berbicara dengan Hikvision NVR juga sehingga itu kemungkinan tetapi bukan bidang keahlian saya).
- Sebagian karena botnet lebih besar dari rata -rata, ukuran serangan juga lebih besar dari rata -rata.
Menurut a pos Diperbarui pada hari Rabu dari perusahaan keamanan Greynoise, Eleven11Bot kemungkinan besar merupakan varian dari Mirai, keluarga malware Untuk menginfeksi webcam dan perangkat Internet of Things lainnya. Mirai memulai debutnya pada tahun 2016ketika puluhan ribu perangkat IoT yang terinfeksi olehnya memberikan apa yang pada saat itu mencatat rekor dosis sekitar 1 tbps dan Mengambil situs berita keamanan Krebsonsecurity selama hampir seminggu. Tak lama setelah itu, pengembang Mirai menerbitkan kode sumber mereka dalam gerakan yang memudahkan peniru di mana -mana untuk memberikan serangan besar -besaran yang sama. Greynoise mengatakan bahwa varian mengemudi Eleven11Bot menggunakan satu eksploitasi baru untuk menginfeksi perekam video digital TVT-NVM 9000 yang berjalan pada chip Hisilicon.
Ada laporan yang saling bertentangan tentang jumlah perangkat yang terdiri dari sebelas orang. Mengikuti laporan Nokia Sabtu lalu sekitar 30.000 perangkat, Yayasan Nirlaba Shadowserver dikatakan Selasa bahwa ukuran sebenarnya lebih dari 86.000. Kemudian dalam pembaruan hari Rabu, Greynoise mengatakan bahwa berdasarkan data dari sesama perusahaan keamanan Sensys, kedua angka tersebut meningkat dan angka sebenarnya kemungkinan kurang dari 5.000.
Revisi ke atas dari Shadowserver kemungkinan merupakan hasil dari keyakinan bahwa semua perangkat yang terinfeksi menampilkan informasi perangkat yang unik. Kecurigaan itu sekarang tampaknya salah. Sebaliknya, Meyer percaya informasi yang terlihat pada perangkat yang terinfeksi ditampilkan pada semua perangkat keras seperti itu, baik yang terinfeksi atau tidak. Para peneliti dari Greynoise dan Sensys tidak segera tersedia untuk menjelaskan bagaimana mereka sampai pada perkiraan yang jauh lebih rendah dari kurang dari 5.000.
Meyer mengatakan bahwa dia secara konsisten mengamati sebanyak 20.000 hingga 30.000 alamat IP yang berpartisipasi dalam serangan lanjutan, meskipun banyak serangan berasal dari himpunan bagian yang jauh lebih kecil. Dia mengatakan bahwa dia telah mengirim daftar 30.000 atau lebih alamat IP yang telah dia amati pada Censys dan berencana untuk juga mengirimnya ke Shadowserver segera dengan harapan mendapatkan konsensus pada ukuran sebenarnya.
“Saya masih yakin dengan perkiraan jumlah karena inilah yang terus kami lihat dalam serangan dan setelah tinjauan manusia terhadap IP sumber,” tulisnya.
Botnet yang berbasis di Mirai menggunakan berbagai metode untuk menginfeksi target mereka. Salah satu metode umum adalah mencoba masuk ke akun administrator perangkat menggunakan pasangan nama pengguna/kata sandi yang biasanya ditetapkan sebagai default oleh produsen. Mirai botnet juga telah diketahui mengeksploitasi kerentanan yang memotong pengaturan keamanan.
Bagaimanapun, siapa pun yang menjalankan segala jenis perangkat IoT harus memposisikannya di belakang router atau bentuk firewall lainnya sehingga mereka tidak terlihat dari luar jaringan lokal. Administrasi jarak jauh dari luar internet harus diaktifkan hanya jika diperlukan. Pengguna juga harus memastikan setiap perangkat dilindungi oleh kata sandi unik yang kuat. Terakhir, perangkat harus diperbarui segera setelah patch keamanan tersedia.
Kisah ini awalnya muncul di ARS Technica.
