Un botnet récemment découvert, comprenant environ 30 000 webcams et enregistreurs vidéo, dont la plus grande concentration se trouve aux États-Unis, a lancé ce qui est probablement la plus grande attaque par déni de service jamais vue, a déclaré un chercheur en sécurité chez Nokia.
Le botnet, connu sous le nom d’Eleven11bot, a été découvert fin février lorsque des chercheurs de l’équipe d’intervention d’urgence Deepfield de Nokia ont observé un grand nombre d’adresses IP dispersées géographiquement qui lançaient des « attaques hypervolumétriques ». Eleven11bot lance depuis lors des attaques à grande échelle.
Les attaques DDoS volumétriques bloquent les services en consommant toute la bande passante disponible au sein du réseau ciblé ou de sa connexion à Internet. Cette approche fonctionne différemment des attaques DDoS par épuisement, qui sollicitent excessivement les ressources informatiques d’un serveur. Les attaques hypervolumétriques sont des attaques DDoS volumétriques qui délivrent des quantités impressionnantes de données, généralement mesurées en térabits par seconde.
Un botnet de dernière minute établit un nouveau record
Avec 30 000 appareils, le bot Eleven11 était déjà d’une ampleur exceptionnelle (même si certains botnets dépassent largement les 100 000 appareils ). La plupart des adresses IP participantes, m’a expliqué Jérôme Meyer, chercheur chez Nokia, n’avaient jamais été vues en train de se livrer à des attaques DDoS.
Outre un botnet de 30 000 nœuds qui semble être apparu du jour au lendemain, une autre caractéristique marquante d’Eleven11bot est le volume record de données qu’il envoie à ses cibles. La plus grande attaque d’Eleven11bot que Nokia ait jamais vue a eu lieu le 27 février et a culminé à environ 6,5 térabits par seconde. Le précédent record d’attaque volumétrique avait été enregistré en janvier avec 5,6 Tbps.
« Eleven11bot a ciblé divers secteurs, notamment les fournisseurs de services de communication et les infrastructures d’hébergement de jeux, en exploitant une variété de vecteurs d’attaque », a écrit Meyer. Alors que dans certains cas, les attaques sont basées sur le volume de données, d’autres se concentrent sur l’inondation d’une connexion avec plus de paquets de données que la connexion ne peut en gérer, avec des chiffres allant de « quelques centaines de milliers à plusieurs centaines de millions de paquets par seconde ». La dégradation du service causée par certaines attaques a duré plusieurs jours, certaines étant toujours en cours au moment de la mise en ligne de cet article.
352e690d-7c3d-470b-9635-27e788c332b7-image.png
Un graphique montrant les temps sur l’axe des x et les tailles en Tbps sur l’axe des y. Entre 6h00 et 6h45 (date non précisée), l’axe des y enregistre des tailles allant de moins de 1 Tbps à un pic de 6,5 Tbps, qui se produit entre 6h38 et 6h45. Crédit : Nokia
Une analyse détaillée a montré que la plus grande concentration d’adresses IP, soit 24,4 %, se trouvait aux États-Unis, suivie de Taïwan avec 17,7 % et du Royaume-Uni avec 6,5 %.
6e6808d3-9b28-4089-b05a-0dc4c12fa0b0-image.png
Diagramme circulaire montrant les pourcentages d’adresses IP par pays.
Dans une interview en ligne, Meyer a fait les remarques suivantes :
Ce botnet est beaucoup plus grand que ce que nous avons l’habitude de voir dans les attaques DDoS (le seul précédent que j’ai en tête est une attaque de 2022 juste après l’invasion de l’Ukraine, avec ~60 000 bots, mais pas publique).
La grande majorité de ses adresses IP n’étaient pas impliquées dans des attaques DDoS avant la semaine dernière.
La plupart des adresses IP sont des caméras de sécurité (Censys pense à Hisilicon, j’ai vu plusieurs sources parler également à un NVR Hikvision, c’est donc une possibilité mais ce n’est pas mon domaine d’expertise).
en partie parce que le botnet est plus grand que la moyenne, la taille de l’attaque est également plus grande que la moyenne.
Selon un article mis à jour mercredi par la société de sécurité Greynoise, Eleven11bot est très probablement une variante de Mirai, une famille de malwares destinés à infecter les webcams et autres appareils IoT. Mirai a fait ses débuts en 2016, lorsque des dizaines de milliers d’appareils IoT infectés par celui-ci ont déclenché ce qui était à l’époque des attaques DDoS record d’environ 1 Tbps et ont paralysé le site d’informations sur la sécurité KrebsOnSecurity pendant près d’une semaine. Peu de temps après, les développeurs de Mirai ont publié leur code source, ce qui a permis aux imitateurs du monde entier de lancer facilement les mêmes attaques massives. Greynoise a déclaré que la variante à l’origine d’Eleven11bot utilise un seul nouvel exploit pour infecter les enregistreurs vidéo numériques TVT-NVMS 9000 qui fonctionnent sur des puces HiSilicon.
Des rapports contradictoires ont été publiés sur le nombre d’appareils composant Eleven11bot. Après le rapport de Nokia samedi dernier faisant état d’environ 30 000 appareils, la fondation à but non lucratif Shadowserver a déclaré mardi que le nombre réel était supérieur à 86 000. Puis, dans la mise à jour de mercredi, Greynoise a déclaré que, sur la base des données de l’entreprise de sécurité Censys, les deux chiffres étaient gonflés et que le nombre réel était probablement inférieur à 5 000.
La révision à la hausse des estimations de Shadowserver était probablement le résultat de la croyance selon laquelle tous les appareils infectés affichaient des informations uniques. Cette suspicion semble désormais inexacte. Au lieu de cela, Meyer pense que les informations affichées sur les appareils infectés sont affichées sur tous ces matériels, qu’ils soient infectés ou non. Les chercheurs de Greynoise et de Censys n’étaient pas immédiatement disponibles pour expliquer comment ils étaient arrivés à l’estimation beaucoup plus basse de moins de 5 000.
Meyer a déclaré avoir observé régulièrement entre 20 000 et 30 000 adresses IP participant à des attaques de suivi, bien que de nombreuses attaques proviennent de sous-ensembles beaucoup plus petits. Il a déclaré qu’il avait depuis envoyé une liste des 30 000 adresses IP environ qu’il a observées à Censys et qu’il prévoyait de les envoyer également prochainement à Shadowserver dans l’espoir d’obtenir un consensus sur la taille réelle.
« Je suis toujours confiant quant au nombre estimé, car c’est ce que nous continuons à voir dans les attaques et après un examen humain des adresses IP sources », a-t-il écrit.
Les botnets basés sur Mirai utilisent diverses méthodes pour infecter leurs cibles. L’une des méthodes les plus courantes consiste à tenter de se connecter aux comptes d’administrateur des appareils à l’aide de paires nom d’utilisateur/mot de passe généralement définies par défaut par les fabricants. Les botnets Mirai sont également connus pour exploiter des vulnérabilités qui contournent les paramètres de sécurité.
Dans tous les cas, toute personne utilisant des appareils IoT doit les placer derrière un routeur ou une autre forme de pare-feu afin qu’ils ne soient pas visibles depuis l’extérieur d’un réseau local. L’administration à distance depuis l’extérieur d’Internet ne doit être activée qu’en cas de besoin. Les utilisateurs doivent également s’assurer que chaque appareil est protégé par un mot de passe unique et fort. Enfin, les appareils doivent être mis à jour dès que des correctifs de sécurité sont disponibles.
Source: https://arstechnica.com/security/2025/03/massive-botnet-that-appeared-overnight-is-delivering-record-size-ddoses/