Một mạng botnet quy mô lớn mang tên Eleven11bot đang khiến giới an ninh mạng lo ngại khi kiểm soát hơn 30.000 thiết bị để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) có quy mô lớn chưa từng có. Theo các nhà nghiên cứu bảo mật tại Nokia, mạng botnet này chủ yếu khai thác các camera giám sát và đầu ghi hình DVR từ Shenzhen, gây ra những cuộc tấn công kéo dài nhiều ngày và làm gián đoạn hoạt động của nhiều hệ thống quan trọng.
Dù chưa có dấu hiệu cho thấy Eleven11bot được hậu thuẫn bởi một tổ chức nhà nước, nhưng tác động của nó là đáng kể, với một số cuộc tấn công đạt mức 6,5 terabit mỗi giây (Tbps), phá vỡ kỷ lục 5,6 Tbps trước đó được ghi nhận vào tháng 1 năm nay.
Botnet Eleven11bot: Mối đe dọa Mạng trên quy mô Toàn cầu
Các chuyên gia của Nokia Deepfield Emergency Response Team lần đầu phát hiện Eleven11bot vào cuối tháng 2 khi một số lượng lớn địa chỉ IP bị xâm nhập đồng loạt thực hiện các cuộc tấn công với lưu lượng dữ liệu khổng lồ. Không giống như các cuộc tấn công DDoS thông thường nhằm vào tài nguyên máy chủ, Eleven11bot tập trung vào việc làm quá tải băng thông mạng, gây ảnh hưởng nghiêm trọng đến hệ thống.
Botnet này đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông, hệ thống lưu trữ game trực tuyến và nhiều cơ sở hạ tầng quan trọng khác. Một số nạn nhân đã bị gián đoạn trong nhiều ngày do không thể chống đỡ trước khối lượng dữ liệu khổng lồ mà Eleven11bot tạo ra.
Theo báo cáo của Nokia, 24,4% thiết bị bị nhiễm đến từ Hoa Kỳ, khiến quốc gia này trở thành khu vực bị ảnh hưởng nặng nề nhất. Tuy nhiên, Eleven11bot có phạm vi hoạt động rộng khắp trên toàn cầu và có thể tiếp tục lây lan.
Jérôme Meyer, chuyên gia bảo mật của Nokia, cho biết:
“Botnet này có quy mô lớn hơn nhiều so với các cuộc tấn công DDoS thông thường. Cường độ tấn công dao động từ vài trăm nghìn đến hàng trăm triệu gói tin mỗi giây.”
Ban đầu, Nokia ước tính Eleven11bot có khoảng 30.000 thiết bị tham gia. Tuy nhiên, tổ chức Shadowserver Foundation cho rằng con số thực tế có thể lên đến 86.000 thiết bị. Ngược lại, công ty bảo mật Greynoise đưa ra con số thấp hơn nhiều, chỉ khoảng 5.000 thiết bị, với phần lớn hoạt động đến từ Iran (61%).
Meyer bác bỏ ước tính từ Shadowserver, cho rằng con số này bị thổi phồng do lỗi trong phương pháp nhận diện thiết bị bị nhiễm. Tuy nhiên, ông vẫn khẳng định rằng số lượng thiết bị bị kiểm soát thực sự dao động trong khoảng 20.000 đến 30.000 IP.
Nguồn gốc và Biện pháp Phòng chống Eleven11bot
Các nhà nghiên cứu bảo mật tin rằng Eleven11bot là biến thể mới của Mirai – một mã độc khét tiếng xuất hiện lần đầu vào năm 2016, chuyên khai thác các thiết bị Internet of Things (IoT) như camera an ninh, router và đầu ghi hình DVR. Botnet này có thể xâm nhập thiết bị bằng cách khai thác mật khẩu mặc định hoặc lỗ hổng phần mềm chưa được vá.
Theo Greynoise, Eleven11bot đã khai thác lỗ hổng bảo mật trên DVR Shenzhen TVT-NVMS 9000, sử dụng chip HiSilicon, để biến các thiết bị này thành công cụ tấn công DDoS.
Các biện pháp bảo vệ thiết bị khỏi Eleven11bot
Các chuyên gia khuyến nghị thực hiện những biện pháp sau để bảo vệ thiết bị IoT khỏi nguy cơ bị botnet tấn công:
- Tắt quyền truy cập từ xa nếu không thực sự cần thiết.
- Đặt mật khẩu mạnh và độc nhất thay vì sử dụng mật khẩu mặc định.
- Cập nhật firmware thường xuyên để vá các lỗ hổng bảo mật.
- Sử dụng tường lửa (firewall) để hạn chế quyền truy cập trái phép.
- Giám sát lưu lượng mạng, phát hiện các dấu hiệu bất thường như băng thông tăng đột biến.
Các cuộc tấn công từ botnet ngày càng tinh vi và có quy mô lớn hơn. Việc bảo vệ thiết bị IoT khỏi các mạng botnet như Eleven11bot là điều cần thiết để ngăn chặn các cuộc tấn công DDoS quy mô lớn, giúp bảo vệ hạ tầng mạng và hệ thống trực tuyến trên toàn cầu.
