‘Eleven11bot’ adlı yeni bir Botnet kötü amaçlı yazılım, DDOS saldırıları yapmak için başta güvenlik kameraları ve ağ video kaydedicileri (NVRS) olmak üzere 86.000’den fazla IoT cihazına enfekte etti.
İran ile gevşek bir şekilde bağlantılı olan Botnet, telekomünikasyon hizmet sağlayıcılarını ve çevrimiçi oyun sunucularını hedefleyen Dağıtımlı Hizmet Reddi (DDOS) saldırıları başlattı.
Eleven11bot, ayrıntıları tehdit izleme platformu Geynoise ile paylaşan Nokia araştırmacıları tarafından keşfedildi.
Nokia’nın güvenlik araştırmacısı Jérôme Meyer, Eleven11bot’un son yıllarda gözlemledikleri en büyük DDOS botnetlerinden biri olduğunu söyledi.
Meyer, LinkedIn’de “Öncelikle tehlikeye atılmış web kameraları ve ağ video kaydedicilerden (NVRS) oluşan bu botnet, 30.000 cihazı aşacak şekilde hızla büyüdü.”
“Büyüklüğü, devlet dışı aktör botnet’ler arasında olağanüstü, bu da onu Şubat 2022’de Ukrayna’nın işgalinden bu yana gözlemlenen bilinen en büyük DDOS botnet kampanyalarından biri haline getiriyor.”
Bugünün başlarında, tehdit izleme platformu Shadowserver Foundation, Eleven11bot Botnet tarafından enfekte olmuş 86.400 cihaz gördüğünü bildirdi ve çoğu Amerika Birleşik Devletleri, İngiltere, Meksika, Kanada ve Avustralya’da.
Kaynak: The Shadowserver Foundation
Meyer, Botnet’in saldırılarının hacimde saniyede birkaç yüz milyon pakete ulaştığını ve sürelerinin genellikle birkaç gün sürdüğünü söylüyor.
Grinnoise, Censys’in yardımıyla, geçtiğimiz ay BotNet’in operasyonuna bağlı 1.400 IPS,% 96’sı gerçek cihazlardan (sahtekarlıklı değil).
Kaynak: Geynoise
Bu IP adreslerinin çoğunluğu İran’da bulunurken, üç yüzün üzerinde Grinnoise tarafından kötü niyetli olarak sınıflandırılmıştır.
Greynoise, kötü amaçlı yazılımların kaba veya yaygın yönetici kullanıcı kimlik bilgileri ile yayıldığını, belirli IoT modelleri için bilinen varsayılan kimlik bilgilerini kullandığını ve açıkta kalan telnet ve SSH bağlantı noktaları için aktif olarak tarama ağları ile yayıldığını bildiriyor.
Greynoise, Eleven11bot ile bağlantılı IP adreslerinin bir listesini yayınladı ve kötü niyetli eylemler taşıdığını onayladı, bu nedenle savunucuların bu listeyi blok listelerine eklemeleri ve şüpheli giriş denemeleri için izlemeleri önerilir.
Genel olarak, tüm IOT’ların en son ürün yazılımı sürümünü çalıştırdığından, uzaktan erişim özelliklerinin gereksiz yere devre dışı bırakılmasının ve varsayılan yönetici hesabı kimlik bilgilerinin güçlü ve benzersiz bir şeyle değiştirilmesini sağlamanız önerilir.
IOT’lar genellikle satıcılarından uzun vadeli desteğe sahip değildir, bu nedenle periyodik olarak cihazlarınızın ömrünün sonuna (EOL) ulaşmadığını ve daha yeni modellerle değiştirilmesini kontrol etmek çok önemlidir.