Kiberbiztonsági elemzők jelenleg is igyekeznek felderíteni az egyik napról a másikra feltűnt, több tízezer fertőzött eszközből álló, óriási támadó hálózatot.
Az Eleven11bot nevet kapta az a botnethálózat, amit február végén derített fel a Nokia Deepfield kiberbiztonsági készenléti csapata. A hálózat a becslések szerint több tízezer eszközből állt, és úgynevezett hipervolumetrikus támadásokat hajt végre.
A botnetek DDoS-támadások, magyarul túlterheléses támadások végrehajtására használhatók, amelynek a lényege, hogy egy célba vett szerver elszórt címek tömegéről olyan mennyiségű kiszolgálandó feladatot kap, hogy túlterhelődik, és nem látja el rendeltetését. A volumetrikus támadás ennek a taktikának egy olyan válfaja, ami nem a szerver számítási kapacitásait meríti ki, ehelyett hatalmas terabit/másodpercben mérhető adattömeg küldésével lefoglalja a teljes sávszélességet, elszigetelve a célzott szervert.
A háztartási gépek lázadása
A volumetrikus támadások csúcsa januárban 5,6 terabit/mp volt, ezt a rekordot az Eleven11bot február végén 6,5 terabit/másodpecre javította.
Az Eleven11bot szektorok széles körét támadta a távközlési szolgáltatóktól online játékokig
– írta a botnetről a Nokia kutatója, Jérôme Meyer.
Lényeges, hogy egy botnet nemcsak támadásra használható, hanem sok más kártékony dologra is. A teljesség igénye nélkül: kártékony szoftver terjesztésére, brute-force jelszótörésre, spamküldözgetésre vagy kriptovaluta-bányászatra. Egy nagyobb botnet százezernél több fertőzött eszközből állhat, amit vírussal fertőzött számítógépek, újabban már interneteléréssel rendelkező eszközök, biztonsági kamerák vagy akár fogkefék alkotnak.
Az Eleven11botot a Nokia kutatói mellett a GreyNoise és a Shadowserver Foundation szakemberei vizsgálták. A Shadowserver Foundation először mintegy 86 ezer eszközre becsülte a hálózat valós kiterjedését. Később kiderült, hogy az eszközazonosítókat tévesen megbízhatónak vélték, a becslést így 30 ezerre korrigálták. A Greynoise és a Censys szakértői később egy jóval alacsonyabb, 5000-nél kevesebb eszközről szóló becslést is adtak, de nem részletezték, hogy mi alapján.
Meyer szerint 20-30 ezer IP-címet látnak, ezek kisebb halmaza vesz részt volumetrikus túlterhelésben, de a több tízezer címnek eddig semmilyen köze nem volt a DDoS-támadásokhoz. Valószínűleg ez az utóbbi idők egyik legnagyobb nem állami botnetje – az állami botneteket kifejezetten kiberháborús célra tartják, ilyet vetettek be például Ukrajna orosz lerohanásakor is.
A nyomok Iránba vezetnek
A új hálózat botjai a világban elszórtan találhatók, nagyobb részük internetre csatlakozó biztonsági kamera. 24,4 százalékuk az Egyesült Államokban, 17,7 százalékuk Tajvanon, 6,5 százalékuk az Egyesült Királyságban van. A GreyNoise szakemberei 1400 olyan IP-címet találtak, amelyeknek közük lehet a botnet irányításához – a címek alapján a nyomok Iránba vezetnek, a létrehozók innen irányítják a hálózatot.
A botnetek üzemeltetői maguk között számontartják, hogy kinek van több, jobb gépe és sávszélessége. Egy-egy ilyen hálózat létrehozására olyan kártékony programokat használnak, amelyek egy adott eszközt könnyen feltörhető digitális tanúsítvánnyal csapnak be, vagy rosszul konfigurált porton keresztül támadnak. A botnet neve általában ugyanaz, mint a létrehozásához használt kártevőé, de mostanában már gyakori, hogy ugyanazzal a programmal több hálózatot hoznak létre.
Így akar átvágni
Mint kiderült, az Eleven11bot egy 2016-ban felbukkant kártevő, a Mirai variánsa. A Mirai szerzői annak idején közzétették programjuk forráskódját, hogy azt bárki kedvére használhassa. Az Eleven11bot ebből a szempontból egy új elemet tartalmazott, ami egy adott gyártmányú, felhőkapcsolattal rendelkező térfigyelő kamera HiSilicon chipjének sérülékenységet célozza.
A Mirai botnetek rendszerint a gyárilag beállított adminisztrátori jelszóval akarnak belépni egy eszközre, vagy megpróbálják megkerülni a biztonsági beállításokat. Az internetre csatlakozó eszközök esetében ezért kicsomagolás után javallott nem elmulasztani az egyedi adminisztrátori jelszó beállítását, nem árthat emellett a biztonsági frissítések letöltése és telepítése sem. (Ars Technica, TechRadar)/Index
