Сразу несколько ИБ-компаний сообщили об обнаружении одного из крупнейших DDoS-ботнетов за последние годы. По данным исследователей, в состав Eleven11bot входят не менее 86 400 IoT-устройств.
Одними из первых новый ботнет заметили специалисты команды Nokia Deepfield Emergency Response Team, которые предупредили о гиперобъемных DDoS-атаках Eleven11bot. 28 февраля эксперты Nokia сообщали, что Eleven11bot заразил около 30 000 устройств, и в основном в его состав входят камеры видеонаблюдения и сетевые видеорегистраторы (NVR).
«Размер Eleven11bot отличается от других ботнетов, принадлежащих неправительственным хакерам, что делает его одним из крупнейших известных на сегодня DDoS-ботнетов», — пишет специалист Nokia Джером Мейер.
Однако на этой неделе аналитики некоммерческой организации The Shadowserver Foundation сообщили, что в результате проведенного ими сканирования было обнаружено более 86 000 скомпрометированных новой угрозой IoT-устройств.
Большинство пострадавших девайсов находятся в США (25 000), Великобритании (10 000), Канаде (4000) и Австралии (3000).
По словам исследователей, Eleven11bot захватывает новые устройства с помощью брутфорс-атак, эксплуатируя слабые и стандартные пароли IoT-устройств, а также сканируя сеть в поисках открытых портов SSH и Telnet.
Eleven11bot проводит DDoS-атаки на различные сектора, включая игровой и коммуникационный, причем некоторые атаки продолжаются несколько дней, вызывая значительные нарушения в работе компаний-жертв.
«Интенсивность атак сильно варьируется: от нескольких сотен тысяч до нескольких сотен миллионов пакетов в секунду», — говорит Мейер.
Эксперты компаний Censys и GreyNoise тоже наблюдают за активностью Eleven11bot. Так, Censys обнаружила 1400 IP-адресов, связанных с ботнетом, а GreyNoise выявила более 1000 IP-адресов, атаковавших ее ханипоты. По данным GreyNoise, 61% этих IP-адресов оказались связаны с Ираном.
Пока компания не делала заявлений о связях Eleven11bot с конкретными группировками, но отметила, что «рост активности ботнета произошел всего через два дня после того, как администрация США подтвердила свое намерение возобновить "максимальное давление" на Иран, введя новые экономические санкции».
