Новооткрит мрежов ботнет, включващ около 30 000 уебкамери и видеорекордери - с най-голяма концентрация в САЩ, - е извършил вероятно най-голямата атака за отказ на услуга, виждана някога, заяви изследовател по сигурността в Nokia.

Ботнетът, проследяван под името Eleven11bot, стана известен за първи път в края на февруари, когато изследователи от екипа за спешно реагиране Deepfield на Nokia забелязаха голям брой географски разпръснати IP адреси да извършват огромни по мащаб атаки. Оттогава насам те се приписват именно на Eleven11bot.

Обемните DDoS атаки спират услугите, като консумират цялата налична честотна лента или в целевата мрежа, или във връзката ѝ с интернет. Този подход работи по различен начин от изчерпващите DDoS, които превишават изчислителните ресурси на даден сървър. Т.нар. хиперволуметрични атаки са обемни DDoS атаки, които доставят зашеметяващи количества данни, обикновено измервани в терабайти в секунда.

При мрежа от 30 000 устройства ботнетът Eleven11bot вече беше изключително голям (въпреки че някои ботнети надхвърлят 100 000 устройства). Повечето от участващите IP адреси обаче никога досега не са били забелязвани да участват в DDoS атаки.

Освен че ботнетът с 30 000 възела сякаш се появява буквално от нищото, друга важна характеристика на Eleven11bot е рекордно големият обем данни, които изпраща на своите цели. Най-големият такъв, който Nokia е виждала досега от Eleven11bot, се е случил на 27 февруари и е достигнал пик от около 6.5 терабита в секунда. Предишният рекорд за обемна атака е отчетен през януари с обем 5.6 Tbps.

Разбивката показва, че най-голямата концентрация на IP адреси - 24.4% - е в САЩ. Следват Тайван - 17.7 %, и Обединеното кралство - 6.5 %.

Според публикация, актуализирана в сряда от фирмата за сигурност Greynoise, Eleven11bot най-вероятно е вариант на Mirai - семейство зловреден софтуер за заразяване на уебкамери и други устройства за Интернет на нещата. Mirai дебютира през 2016 г., когато десетки хиляди заразени от него устройства на Интернет на нещата бяха в основата на рекордни по онова време DDoS от около 1 Tbps и свалиха сайта за новини за сигурността KrebsOnSecurity за почти седмица. Малко след това разработчиците на Mirai публикуваха изходния си код, което улесни подражателите навсякъде по света да извършват същите масирани атаки. Вариантът, управляващ Eleven11bot, използва един нов експлойт, за да зарази цифровите видеорекордери TVT-NVMS 9000, които работят с чипове HiSilicon.

Съществуват противоречиви данни за броя на устройствата, съставляващи Eleven11bot. След като миналата събота Nokia съобщи, че броят на устройствата е около 30 000, във вторник фондацията с нестопанска цел Shadowserver Foundation заяви, че истинският брой е повече от 86 000. След това в актуализацията от сряда Greynoise заяви, че въз основа на данни от друга фирма за сигурност Censys и двете числа са завишени и истинският брой вероятно е по-малък от 5000.

Снимка: Unsplash/Nokia

Виж още: Човекът калкулатор: 14-годишен подобри 6 световни математически рекорда за 1 ден