Uma rede botnet recém-descoberta, composta por cerca de 30.000 webcams e gravadores de vídeo—com a maior concentração nos EUA—tem realizado o que é provavelmente o maior ataque de negação de serviço já visto, disse um pesquisador de segurança da Nokia.
A botnet, rastreada sob o nome Eleven11bot, veio à tona no final de fevereiro, quando pesquisadores da equipe de resposta a emergências da Deepfield da Nokia observaram um grande número de endereços IP geograficamente dispersos realizando “ataques hipervolumétricos”. A Eleven11bot tem realizado ataques em larga escala desde então.
Os DDoSes volumétricos desligam serviços consumindo toda a largura de banda disponível dentro da rede alvo ou sua conexão com a Internet. Essa abordagem funciona de maneira diferente dos DDoSes de exaustão, que sobrecarregam os recursos computacionais de um servidor. Ataques hipervolumétricos são DDoSes volumétricos que entregam quantidades impressionantes de dados, tipicamente medidas em terabits por segundo.
Com 30.000 dispositivos, a Eleven11bot já era excepcionalmente grande (embora algumas botnets excedam bem mais de 100.000 dispositivos). A maioria dos endereços IP participantes, disse o pesquisador da Nokia, Jérôme Meyer, nunca tinha sido vista realizando ataques DDoS.
Além de uma botnet de 30.000 nós parecer aparecer da noite para o dia, outra característica saliente da Eleven11bot é o volume de dados de tamanho recorde que envia a seus alvos. O maior ataque que a Nokia viu da Eleven11bot até agora ocorreu em 27 de fevereiro e atingiu um pico de cerca de 6,5 terabits por segundo. O recorde anterior para um ataque volumétrico foi relatado em janeiro a 5,6 Tbps.
“A Eleven11bot tem como alvo setores diversos, incluindo provedores de serviços de comunicações e infraestrutura de hospedagem de jogos, aproveitando uma variedade de vetores de ataque,” escreveu Meyer. Embora em alguns casos os ataques sejam baseados no volume de dados, outros se concentram em inundar uma conexão com mais pacotes de dados do que a conexão pode suportar, com números variando de “algumas centenas de milhares a vários centenas de milhões de pacotes por segundo.” A degradação do serviço causada em alguns ataques durou vários dias, com alguns permanecendo ativos até o momento em que este post foi ao ar.
Uma análise mostrou que a maior concentração de endereços IP, com 24,4%, estava localizada nos EUA. Taiwan foi o próximo com 17,7%, e o Reino Unido com 6,5%.
Em uma entrevista online, Meyer fez os seguintes pontos:
Esta botnet é muito maior do que estamos acostumados a ver em ataques DDoS (o único precedente que tenho em mente é um ataque de 2022 logo após a invasão da Ucrânia, com cerca de 60k bots, mas não é público).
A vasta maioria de seus IPs não estava envolvida em ataques DDoS antes da semana passada.
A maioria dos IPs são câmeras de segurança (a Censys pensa em Hisilicon, vi múltiplas fontes falarem de um NVR da Hikvision também, então isso é uma possibilidade, mas não é minha área de especialização).
Em parte porque a botnet é maior do que a média, o tamanho do ataque também é maior do que a média.
De acordo com uma postagem atualizada na quarta-feira da firma de segurança Greynoise, a Eleven11bot é provavelmente uma variante do Mirai, uma família de malware para infectar webcams e outros dispositivos da Internet das Coisas. O Mirai estreou em 2016, quando dezenas de milhares de dispositivos IoT infectados por ele realizaram o que na época foram DDoSes recordes de cerca de 1 Tbps e derrubaram o site de notícias de segurança KrebsOnSecurity por quase uma semana. Logo depois, os desenvolvedores do Mirai publicaram seu código-fonte em um movimento que facilitou a cópia em todos os lugares para realizar os mesmos ataques massivos. A Greynoise disse que a variante que impulsiona a Eleven11bot está usando um novo exploit para infectar gravadores de vídeo digital TVT-NVMS 9000 que rodam em chips HiSilicon.
Houve relatos conflitantes sobre o número de dispositivos que compõem a Eleven11bot. Após o relatório da Nokia no sábado passado de aproximadamente 30.000 dispositivos, a fundação sem fins lucrativos Shadowserver disse na terça-feira que o verdadeiro tamanho era mais de 86.000. Então, na atualização de quarta-feira, a Greynoise disse que, com base em dados da firma de segurança Censys, ambos os números estavam inflacionados e o verdadeiro número provavelmente era inferior a 5.000.
A revisão ascendente da Shadowserver provavelmente foi o resultado da crença de que todos os dispositivos infectados exibiam informações de dispositivo únicas. Essa suspeita agora parece estar incorreta. Em vez disso, Meyer acredita que as informações vistas em dispositivos infectados são exibidas em todo esse hardware, esteja ele infectado ou não. Pesquisadores da Greynoise e da Censys não estavam imediatamente disponíveis para explicar como chegaram à estimativa muito mais baixa de menos de 5.000.
Meyer disse que observou consistentemente até 20.000 a 30.000 endereços IP participando de ataques subsequentes, embora muitos ataques venham de subconjuntos muito menores. Ele disse que desde então enviou uma lista de todos os 30.000 ou mais endereços IP que observou para a Censys e planeja também enviá-los para a Shadowserver em breve, na esperança de obter consenso sobre o verdadeiro tamanho.
“Ainda estou confiante na contagem estimada, pois é isso que continuamos vendo em ataques e após a revisão humana dos IPs de origem,” escreveu ele.
Botnets baseadas em Mirai empregam vários métodos para infectar seus alvos. Um método comum é tentar fazer login em contas de administrador de dispositivos usando pares de nome de usuário/senha comumente configurados como padrões pelos fabricantes. Botnets Mirai também são conhecidas por explorar vulnerabilidades que contornam as configurações de segurança.
De qualquer forma, qualquer pessoa que esteja usando qualquer tipo de dispositivos IoT deve posicioná-los atrás de um roteador ou outra forma de firewall para que não fiquem visíveis a partir de fora de uma rede local. A administração remota a partir de fora da Internet deve ser habilitada apenas quando necessário. Os usuários também devem garantir que cada dispositivo esteja protegido por uma senha única forte. Por último, os dispositivos devem ser atualizados assim que patches de segurança estiverem disponíveis.