Uma rede de botnets recém-descoberta, composta por cerca de 30.000 webcams e gravadores de vídeo – com a maior concentração nos EUA – tem causado o que provavelmente será o maior ataque de negação de serviço já visto, disse um pesquisador de segurança dentro da Nokia.
O botnet, rastreado sob o nome Eleven11bot, veio à tona pela primeira vez no final de fevereiro, quando pesquisadores dentro da Equipe de Resposta de Emergência Deepfield da Nokia observaram grandes quantidades de endereços IP geograficamente dispersos entregando “ataques hiper-volumétricos”. Desde então, o Eleven11bot tem realizado ataques em grande escala.
Os ataques volumétricos de DDoS desligam serviços consumindo toda a largura de banda disponível, seja dentro da rede alvo ou em sua conexão com a Internet. Esse método funciona de forma diferente dos ataques de exaustão DDoS, que sobrecarregam os recursos de computação de um servidor. Os ataques hiper-volumétricos são DDoS volumétricos que entregam quantidades impressionantes de dados, geralmente medidos em terabits por segundo.
Com 30.000 dispositivos, o Eleven11bot já era excepcionalmente grande (embora alguns botnets excedam bem mais de 100.000 dispositivos). A maioria dos endereços IP participantes, segundo o pesquisador da Nokia Jérôme Meyer, nunca tinha sido vista realizando ataques de DDoS.
Além de um botnet de 30.000 nós parecer surgir da noite para o dia, outra característica marcante do Eleven11bot é o volume recorde de dados que envia para seus alvos. O maior ataque já visto pela Nokia do Eleven11bot ocorreu em 27 de fevereiro e atingiu cerca de 6,5 terabits por segundo. O recorde anterior para um ataque volumétrico foi relatado em janeiro em 5,6 Tbps.
“O Eleven11bot tem como alvos setores diversos, incluindo provedores de serviços de comunicação e infraestrutura de hospedagem de jogos, aproveitando uma variedade de vetores de ataque”, escreveu Meyer. Enquanto em alguns casos os ataques são baseados no volume de dados, outros se concentram em inundar uma conexão com mais pacotes de dados do que a conexão pode lidar, com números variando de “algumas centenas de milhares a vários cem milhões de pacotes por segundo”. A degradação do serviço causada em alguns ataques tem durado vários dias, com alguns ainda em andamento no momento em que este post foi ao ar.
Uma análise mostrou que a maior concentração de endereços IP, com 24,4%, estava localizada nos EUA. Taiwan aparecia em seguida com 17,7%, e o Reino Unido com 6,5%.
Em uma entrevista online, Meyer fez os seguintes pontos:
– Este botnet é muito maior do que estamos acostumados a ver em ataques de DDoS (o único caso que me vem à mente é um ataque de 2022 logo após a invasão da Ucrânia, com ~60k bots, mas não público).
– A grande maioria dos seus IPs não estava envolvida em ataques de DDoS antes da semana passada.
– A maioria dos IPs são câmeras de segurança (o Censys acredita que seja Hisilicon, vi várias fontes falarem sobre um Hikvision NVR também, então essa é uma possibilidade, mas não é minha área de especialização).
– Em parte porque o botnet é maior do que a média, o tamanho do ataque também é maior do que a média.
