Theo Nokia, mạng botnet này ước tính bao gồm khoảng 30.000 webcam và máy ghi hình, với 24,4% số thiết bị bị xâm phạm tập trung tại Mỹ. Mặc dù đây không phải là mạng botnet lớn nhất nhưng Eleven11bot đã gây ra cuộc tấn công từ chối dịch vụ (DDoS) đạt đỉnh 6,5 Tb/giây, vượt qua kỷ lục trước đó là 5,6 Tb/giây được thiết lập vào tháng 1.2025, theo thông tin từ Cloudflare.
Mạng botnet Eleven11bot đã gây ra cuộc tấn công DDoS lớn nhất từng ghi nhận
Đội phản ứng khẩn cấp Deepfield của Nokia đã phát hiện Eleven11bot sau khi một loạt địa chỉ IP phân tán đã phát động các “cuộc tấn công siêu lớn” vào cuối tháng 2 vừa qua. Khác với các cuộc tấn công DDoS truyền thống, các cuộc tấn công của Eleven11bot làm ngập mạng bằng lượng dữ liệu khổng lồ, gây ra sự gián đoạn kéo dài tới một tuần cho các nhà cung cấp dịch vụ truyền thông và cơ sở hạ tầng lưu trữ trò chơi.
Nhà nghiên cứu bảo mật của Nokia Jérôme Meyer cho biết hầu hết địa chỉ IP liên quan đến các cuộc tấn công này trước đây không có liên quan đến hoạt động DDoS, điều này khiến sự xuất hiện của Eleven11bot trở nên đáng lo ngại. Ông cũng nhấn mạnh rằng botnet tương đương cuối cùng có quy mô này được phát hiện vào năm 2022, ngay sau khi xung đột Nga-Ukraine xảy ra, với khoảng 60.000 thiết bị bị nhiễm.
Meyer cho biết: “Mạng botnet này lớn hơn nhiều so với những gì chúng ta thường thấy trong các cuộc tấn công DDoS. Cường độ tấn công rất đa dạng, từ vài trăm nghìn đến vài trăm triệu gói tin mỗi giây”.
Ước tính của Nokia liệu đã chính xác?
Trong khi Nokia ước tính botnet này có khoảng 30.000 thiết bị, tổ chức phi lợi nhuận Shadowserver Foundation đã điều chỉnh con số này lên hơn 86.000. Ngược lại, công ty bảo mật Greynoise đưa ra ước tính thấp hơn nhiều, chỉ dưới 5.000 thiết bị, với 61% hoạt động IP xuất phát từ Iran. Meyer cho rằng con số của Shadowserver có thể là quá cao do cách xác định thiết bị bị nhiễm.
Các nhà nghiên cứu của Greynoise tin rằng Eleven11bot là một biến thể mới của Mirai – phần mềm độc hại nổi tiếng từ năm 2016 thường lây nhiễm các thiết bị Internet vạn vật (IoT) bằng cách khai thác thông tin xác thực mặc định hoặc lỗ hổng phần mềm. Họ cho rằng Eleven11bot sử dụng một lỗ hổng mới để xâm nhập vào đầu ghi video kỹ thuật số Shenzhen TVT-NVMS 9000.
Để bảo vệ chống lại Eleven11bot và các botnet khác, các chuyên gia khuyến cáo người dùng nên đặt các thiết bị IoT sau tường lửa, vô hiệu hóa quản trị từ xa khi không cần thiết, sử dụng mật khẩu mạnh và duy nhất, cũng như thường xuyên cập nhật firmware để vá các lỗ hổng mà botnet có thể khai thác.