Több tízezer különféle eszközzel rombolják le az internet világát.
Kiberbiztonsági szakértők folyamatos erőfeszítéseket tesznek annak érdekében, hogy felfedjék azt a hatalmas támadó hálózatot, amely egyik napról a másikra jelent meg, és több tízezer fertőzött eszközből áll.
Az Eleven11bot nevet kapta az a botnet hálózat, amit február végén derített fel a Nokia Deepfield kiberbiztonsági készenléti csapata. A hálózat a becslések szerint több tízezer eszközből állt és úgynevezett hiper-volumetrikus támadásokat hajt végre.
A botnetek rendkívül hatékony eszközök DDoS támadások, azaz túlterheléses támadások végrehajtására. E támadások lényege abban rejlik, hogy a megcélzott szerver különböző forrásokból érkező, hatalmas mennyiségű kérést kap, ami miatt képtelenné válik a normális működésére. A volumetrikus támadások egy speciális típusa ennek a stratégiának, amely nem a szerver feldolgozási kapacitását célozza meg, hanem óriási, terabit/másodperc nagyságrendű adatforgalmat generál, ezzel teljesen kimerítve a rendelkezésre álló sávszélességet, és elszigetelve a célzott rendszert.
A volumetrikus támadások terén januárban 5,6 terabit/mp sebességgel értük el a csúcspontot, azonban az Eleven11bot február végén megdöntötte ezt a rekordot, és 6,5 terabit/másodpercre emelte a szintet.
Az Eleven11bot különböző iparágakat célozott meg, a távközlési szolgáltatóktól kezdve egészen az online játékok világáig.
Jérôme Meyer, a Nokia kutatója, izgalmas részleteket osztott meg a botnetek világáról.
Fontos megérteni, hogy a botnetek nem csupán támadások lebonyolítására szolgálnak, hanem számos más káros tevékenység végrehajtására is képesek. Például, a botnetek használhatók kártékony szoftverek terjesztésére, jelszavak brute-force módszerrel történő feltörésére, kéretlen levelek küldésére, vagy akár kriptovaluták bányászatára is. Egy nagyobb botnet akár százezernyi fertőzött eszközből is állhat, amelyek között nemcsak vírussal megfertőzött számítógépek, hanem újabban internetkapcsolattal rendelkező eszközök, mint például okos biztonsági kamerák vagy akár internetes fogkefék is megtalálhatók.
Az Eleven11botot a Nokia kutatói mellett a GreyNoise és a Shadowserver Foundation szakemberei vizsgálták. A Shadowserver Foundation először mintegy 86 ezer eszközre becsülte a hálózat valós kiterjedését. Később kiderült, hogy az eszközazonosítókat tévesen megbízhatónak vélték, a becslést így 30 ezerre korrigálták. A Greynoise és a Censys szakértői később egy jóval alacsonyabb, 5000-nél kevesebb eszközről szóló becslést is adtak, de nem részletezték, hogy mi alapján.
Meyer megállapítása szerint körülbelül 20-30 ezer IP cím figyelhető meg, azonban ezek közül csupán egy kisebb rész vesz részt volumetrikus túlterhelési támadásokban. A többi, több tízezer IP cím eddig nem mutatott semmilyen kapcsolatot a DDoS támadásokkal. Valószínű, hogy ez a legnagyobb nem állami botnet, amit az utóbbi időszakban észleltek – míg az állami botnetek jellemzően kiberháborús célokra szolgálnak, mint például a közelmúltban Ukrajna orosz inváziója során.
A globális botnet hálózat botjai széles körben szétszóródva találhatók, a legtöbbjük internetre csatlakozó biztonsági kameraként működik. Ezek közül 24,4 százalék az Egyesült Államokban, 17,7 százalék Tajvanon, míg 6,5 százalék az Egyesült Királyság területén helyezkedik el. A GreyNoise szakértői 1400 olyan IP címet azonosítottak, amelyek potenciálisan a botnet irányításához kapcsolódnak. Az elemzések alapján a nyomok Iránba vezetnek, ahol a hálózat kezelői tevékenykednek.
A botnetek üzemeltetői maguk között számon tartják, hogy kinek van több, jobb gépe és sávszélessége. Egy-egy ilyen hálózat létrehozására olyan kártékony programokat használnak, amik egy adott eszközt könnyen feltörhető digitális tanúsítvánnyal csapják be vagy rosszul konfigurált porton keresztül támadnak. A botnet neve általában ugyanaz, mint a létrehozásához használt kártevőé, de mostanában már gyakori, hogy ugyanazzal a programmal több hálózatot hoztak létre.
Az Eleven11bot egy 2016-ban megjelent kártevő, amely a Mirai vírus variációja. A Mirai készítői a múltban nyilvánosságra hozták a program forráskódját, lehetővé téve ezzel bárki számára a felhasználását. Az Eleven11bot azonban egy új dimenziót hozott magával, mivel egy konkrét gyártmányú, felhőkapcsolattal ellátott térfigyelő kamera HiSilicon chipjének sebezhetőségére összpontosít.
A Mirai botnetek gyakran a gyárilag beállított adminisztrátori jelszót kihasználva próbálnak hozzáférni az eszközökhöz, vagy megkísérlik megkerülni a biztonsági intézkedéseket. Ezért, amikor egy internetre csatlakozó eszközt üzembe helyezünk, elengedhetetlen, hogy azonnal beállítsunk egyedi adminisztrátori jelszót. Ezen kívül érdemes figyelni a biztonsági frissítések rendszeres letöltésére és telepítésére is, hogy még jobban növeljük az eszköz védelmét.
