Et nyt botnet kaldet Eleven11bot, som består af omkring 30.000 hackede overvågningskameraer og videorecordere, har udført, hvad der muligvis er det største DDoS-angreb (denial-of-service) nogensinde. Det fortæller en sikkerhedsforsker fra Nokia.
Angrebet opdaget i februar
Eleven11bot blev opdaget sidst i februar af Nokias Deepfield Emergency Response Team, da de bemærkede en række store “hyper-volumetriske” DDoS-angreb fra mange geografisk spredte IP-adresser. Angrebene har stået på lige siden.
Den type angreb overbelaster internetforbindelser ved at sende ekstremt store datamængder – ofte målt i terabit per sekund (Tbps). De er særligt farlige, fordi de kan lamme hele netværk, særligt inden for kommunikation og gaming.
Nyt rekordangreb på 6,5 Tbps
Eleven11bot adskiller sig fra tidligere botnets ved sin usædvanligt store størrelse og det massive datavolumen, den sender mod målene. Det største angreb observeret indtil nu fandt sted den 27. februar og nåede en hastighed på 6,5 Tbps, hvilket overgår den tidligere rekord fra januar på 5,6 Tbps.
Ifølge Nokia rammer Eleven11bot en bred vifte af mål, herunder internetudbydere og spilservere. Angrebene varierer i form – nogle overbelaster netværket med rå datamængder, mens andre oversvømmer forbindelsen med flere hundrede millioner datapakker i sekundet. Nogle tjenester har været nede i flere dage på grund af angrebene.
USA, Taiwan og Storbritannien hårdest ramt
Flest af de inficerede enheder befinder sig i USA (24,4 %), Taiwan (17,7 %) og Storbritannien (6,5 %). De fleste af de hackede enheder er sikkerhedskameraer, sandsynligvis fra producenter som HiSilicon og Hikvision.
Ligner tidligere Mirai-angreb
Sikkerhedsfirmaet Greynoise vurderer, at Eleven11bot er en variant af den kendte Mirai-malware, som første gang dukkede op i 2016. Dengang skabte Mirai nogle af de første DDoS-angreb over 1 Tbps, blandt andet mod sikkerhedssitet KrebsOnSecurity.
Mirai-botnets spreder sig ved at udnytte svage adgangskoder og sikkerhedshuller i internetforbundne enheder. Eleven11bot ser ud til at udnytte en specifik sårbarhed i TVT-NVMS 9000 digitale videooptagere med HiSilicon-chips.
Uenighed om botnettets størrelse
Der er modstridende oplysninger om, hvor mange enheder der faktisk er inficeret. Nokia anslår 30.000, mens organisationen Shadowserver Foundation hævdede, at antallet kunne være over 86.000. Omvendt vurderede Greynoise for nylig, at tallet muligvis er under 5.000.
Nokia fastholder dog, at de har observeret op til 30.000 enheder deltage i angrebene, og at de har delt deres data med sikkerhedsorganisationer for at få en præcis vurdering.
Sådan beskytter du dig mod botnets
Mirai-lignende botnets udnytter dårlige sikkerhedspraksisser på IoT-enheder. For at undgå, at dine enheder bliver en del af et botnet, anbefales det:
- At placere IoT-enheder bag en router eller firewall.
- Kun at tillade fjernadgang, hvis det er absolut nødvendigt.
- At bruge stærke, unikke adgangskoder til alle enheder.
- At opdatere firmwaren på enheder så snart der kommer sikkerhedsrettelser.
Eleven11bot er en påmindelse om, hvor sårbare internetforbundne enheder kan være, og hvorfor det er vigtigt at tage IT-sikkerhed alvorligt.
Kilde: Wired
