Специалисты по кибербезопасности зафиксировали появление нового крупномасштабного DDoS-ботнета Eleven11bot, который уже успел скомпрометировать более 86 400 IoT-устройств по всему миру. Масштаб заражения и технические характеристики ботнета позволяют считать его одним из самых значительных киберугроз последних лет.
Масштабы и география распространения
Исследование, проведенное The Shadowserver Foundation, выявило, что большая часть зараженных устройств сконцентрирована в нескольких странах: США (25 000 устройств), Великобритания (10 000), Канада (4000) и Австралия (3000). Первоначальное обнаружение угрозы произошло благодаря специалистам Nokia Deepfield Emergency Response Team, зафиксировавшим около 30 000 зараженных устройств.
Технические особенности и методы распространения
Eleven11bot использует комбинацию классических методов проникновения, включая брутфорс-атаки на устройства с weak-паролями и активное сканирование сетей для поиска открытых SSH и Telnet портов. Основными целями становятся камеры видеонаблюдения и сетевые видеорегистраторы (NVR), имеющие уязвимости в системе безопасности.
Характер и интенсивность атак
По данным эксперта Nokia Джерома Мейера, мощность DDoS-атак, проводимых ботнетом, варьируется от нескольких сотен тысяч до нескольких сотен миллионов пакетов в секунду. Атаки направлены преимущественно на игровой и коммуникационный секторы, причем некоторые из них могут продолжаться несколько дней, существенно нарушая работу целевых организаций.
Геополитический контекст
Исследования компании GreyNoise показали, что 61% атакующих IP-адресов связаны с Ираном. Примечательно, что активизация ботнета совпала с объявлением администрации США о возобновлении политики «максимального давления» на Иран через новые экономические санкции. Однако прямых доказательств связи Eleven11bot с конкретными хакерскими группировками пока не обнаружено.
Появление Eleven11bot подчеркивает растущую важность обеспечения безопасности IoT-устройств и необходимость внедрения более строгих протоколов защиты в корпоративных и домашних сетях. Рекомендуется регулярно обновлять прошивки устройств, использовать сложные уникальные пароли и применять многофакторную аутентификацию там, где это возможно.