Un nouveau malware de botnet nommé « Eleven11bot » a infecté plus de 86 000 appareils IoT, principalement des caméras de sécurité et des enregistreurs vidéo réseau (NVR), pour mener des attaques DDoS.
Le botnet, qui est vaguement lié à l’Iran, a déjà lancé des attaques par déni de service distribué (DDoS) ciblant les fournisseurs de services de télécommunication et les serveurs de jeux en ligne.
Eleven11bot a été découvert par des chercheurs de Nokia qui ont partagé les détails avec la plate-forme de surveillance des menaces GreyNoise.
Jérôme Meyer, chercheur en sécurité chez Nokia, a déclaré que Eleven11bot est l’un des plus grands botnets DDoS qu’ils aient observés ces dernières années.
« Principalement composé de webcams et d’enregistreurs vidéo en réseau compromis (NVR), ce botnet s’est rapidement développé pour dépasser les appareils 30,000 », a déclaré Meyer sur LinkedIn.
« Sa taille est exceptionnelle parmi les botnets d’acteurs non étatiques, ce qui en fait l’une des plus grandes campagnes de botnets DDoS connues observées depuis l’invasion de l’Ukraine en février 2022. »
Plus tôt dans la journée, la plateforme de surveillance des menaces Shadowserver Foundation a signalé avoir vu 86 400 appareils infectés par le botnet Eleven11bot, la plupart aux États-Unis, au Royaume-Uni, au Mexique, au Canada et en Australie.
Meyer dit que les attaques de botnets ont atteint plusieurs centaines de millions de paquets par seconde en volume, et leur durée s’étend souvent sur plusieurs jours.
Le bruit gris, avec l’aide du Recensement, a enregistré 1 400 adresses IP liées au fonctionnement du botnet au cours du dernier mois, dont 96% provenaient d’appareils réels (non usurpés).
La majorité de ces adresses IP sont basées en Iran, tandis que plus de trois cents sont classées comme malveillantes par GreyNoise.
GreyNoise signale que le malware se propage en forçant brutalement les informations d’identification des utilisateurs administrateurs faibles ou courantes, en exploitant les informations d’identification par défaut connues pour des modèles IoT spécifiques et en analysant activement les réseaux à la recherche de ports Telnet et SSH exposés.
GreyNoise a publié une liste d’adresses IP liées à Eleven11bot et confirmées pour mener des actions malveillantes, il est donc recommandé aux défenseurs d’ajouter cette liste à leurs listes de blocage et de surveiller les tentatives de connexion suspectes.
En général, il est conseillé de s’assurer que tous les IOT exécutent la dernière version du micrologiciel, que leurs fonctionnalités d’accès à distance sont désactivées si elles ne sont pas nécessaires et que les informations d’identification du compte administrateur par défaut ont été modifiées avec quelque chose de solide et d’unique.
Les IOT ne bénéficient généralement pas d’une assistance à long terme de la part de leurs fournisseurs, il est donc crucial de vérifier périodiquement que vos appareils n’ont pas atteint la fin de vie (EOL) et de remplacer ceux qui en ont par des modèles plus récents.