05 Марта 2025 10:41 05 Мар 2025 10:41 |

Поделиться

Иранские хакеры создали суперботнет, тысячами поражающий видеорегистраторы и IP-камеры

Новый ботнет

Ботнет Eleven11bot поразил более 86 тыс. интернет-устройств, среди которых преимущественно IP-камеры и сетевые видеорегистраторы, об этом пишут на Bleeping Computer. Инфицированные устройства используются для проведения масштабных DDoS-атак, направленных на телекоммуникационные компании и серверы онлайн-игр.

Исследователи по кибербезопасности из компании Nokia предупреждают, что вредоносный ботнет Eleven11bot, использующий устройства интернета вещей (IoT) для DDoS-атак, быстро распространяется с момента своего обнаружения в феврале 2025 г.

По данным Shadowserver Foundation, по состоянию на 2 марта 2025 г. Eleven11bot скомпрометировал более 86 тыс. IoT-устройств. Это более чем на два раза больше, чем 30 тыс. устройств по состоянию на 28 февраля. Из 86 тыс. зараженных устройств около 27 тыс. находятся в Соединенных Штатах.

По данным GreyNoise, большинство взломанных устройств включают камеры безопасности и сетевые видеорегистраторы, а в число атакованных организаций входят телекоммуникационные компании и игровые платформы.

Aiartgenerator

Иранские хакеры создали новый суперботнет Eleven11bot, он уже поразил более 86 тыс. интернет-устройств

Ботнеты — это сети, состоящие из компьютеров, захваченных хакерами, которые те используют для различных махинаций и ИТ-атак. Организация ботнета обычно является начальным этапом многоуровневой схемы. Боты служат ИТ-инструментом массированных автоматизированных кибератак, цель которых – похищение данных, вывод из строя серверов и распространение вредоносного программного обеспечения (ПО). Ботнет Eleven11bot на март 2025 г. считается одним из крупнейших, созданных негосударственным актором с начала 2022 г.

Потенциальное влияние этих кибератак может быть очень значительным, так как существует до 150 тыс. устройств, которые могут быть уязвимы для этой деятельности, по мнению исследователей из Nokia. Ботнет Eleven11bot не только быстро растет, но и является мощной сетью, которая уже участвует в угрожающих действиях.

Эксперты GreyNoise совместно с Censys зафиксировали 1,4 тыс. IP-адресов, связанных с деятельностью Eleven11bot. В 96% случаев зараженные устройства оказались реальными, а не поддельными. Наибольшее число вредоносных IP-адресов обнаружено в Иране. При этом более 300 из 1,4 тыс. классифицированы, как вредоносные. По мнению специалистов GreyNoise, ботнет Eleven11bot связан с Ираном. Сотрудники GreyNoise опубликовали список IP-адресов, связанных с Eleven11bot, и рекомендует защитным ИТ-системам блокировать их, а также отслеживать подозрительные попытки входа.

Максимальная наблюдаемая пропускная способность ИТ-атак достигла 6,5 ТБ/с, однако обычно кибератаки основываются на меньшем количестве ботов, чем в случае с Eleven11bot. Объем генерируемого здесь трафика делает нецелесообразным использование традиционных методов борьбы с ИТ-атаками, таких как устройства очистки.

«Учитывая эти возможности, действительно существует реальный потенциальный ущерб для критической инфраструктуры из-за огромных объемов трафика», — сказал исследователь по вопросам кибербезопасности Nokia Джером Мейер (Jerome Meyer).

Организация защиты

Специалисты Nokia напоминают, что обновление прошивок помогает устранить известные уязвимости, которые хакеры могут использовать. Отключение удаленного доступа, если он не нужен, снижает вероятность несанкционированного подключения. А использование сложных и уникальных паролей вместо заводских (например, «admin» или «1234») делает подбор пароля значительно труднее. Эти простые шаги могут существенно повысить безопасность умных устройств, таких как камеры, роутеры или термостаты, которые часто становятся мишенями для злоумышленников.

GreyNoise

Страны, затронутые Eleven11bot

Для предотвращения заражения специалисты по кибербезопасности Nokia советуют обновлять прошивки IoT-устройств, отключать удаленный доступ при его ненадобности. Кроме того, из-за ограниченного срока поддержки подобных устройств рекомендуется регулярно проверять их статус и своевременно заменять устаревшие модели. Ведь в современных решениях существуют и актуальные меры защиты.

Рынок ботнетов

Стоимость использования готовых ботнетов для проведения автоматизированных массовых кибератак, в том числе по схеме DDoS, составляет от $99. Об этом говорится в исследовании «Лаборатории Касперского», результаты которого обнародованы 9 августа 2024 г.

Отмечается, что для создания ботнетов могут применяться уязвимые пользовательские и корпоративные устройства, например, со слабыми паролями — от умных камер до промышленного оборудования.

В первом полугодии 2024 г. количество инфицированных устройств IoT в России выросло более чем в два раза по сравнению с аналогичным периодом в 2023 г. Эксперты выделяют несколько вариантов коммерческого использования ботнетов — продажа и сдача в аренду, разработка на заказ, а также приобретение недорогих сетей с утекшим исходным кодом.

В случае продажи ботнеты обладают индивидуальными настройками и различаются по способам заражения, типу используемого ПО, ИТ-инфраструктуре, методам обхода обнаружения. По состоянию на 2024 г. стоимость таких сетей варьируется от $99 до $10 тыс. в зависимости от качества и функционала. В случае аренды стоимость находится в пределах $30–$4,8 тыс. в месяц.

Хакеры предлагают создать ботнет на заказ с нуля: стоимость таких услуг начинается с $3 тыс. Большинство подобных сделок заключаются в частном порядке — через личные сообщения, тогда как исполнителей обычно выбирают на основе их репутации, которую отражает рейтинг пользователя на теневых форумах.

В свою очередь, ботнеты, исходный код которых стал известен в результате утечки, являются более доступными. Однако вероятность достижения желаемого результата ниже по сравнению с другими моделями. Кроме того, такие ботнеты эффективно блокируются защитными ИТ-решениями. Доступ к этим сетям можно получить бесплатно или за небольшую плату — от $10 до $50 в месяц.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка