Selon Nokia, le botnet devrait inclure environ 30 000 webcams et enregistreurs vidéo, avec 24,4 % des appareils compromis situés aux États-Unis. Bien qu'il ne s'agisse pas du plus grand botnet, Eleven11bot a provoqué une attaque par déni de service distribué (DDoS) qui a culminé à 6,5 Tbps, dépassant le précédent record de 5,6 Tbps établi en janvier 2025, selon Cloudflare.
Le botnet Eleven11bot a lancé la plus grande attaque DDoS jamais enregistrée
L'équipe d'intervention d'urgence Deepfield de Nokia a découvert Eleven11bot après qu'une série d'adresses IP distribuées a lancé des « méga-attaques » fin février. Contrairement aux attaques DDoS classiques, celles d'Eleven11bot ont inondé les réseaux de volumes massifs de données, provoquant des perturbations pouvant durer jusqu'à une semaine pour les fournisseurs de services de télécommunications et les infrastructures d'hébergement de jeux.
Jérôme Meyer, chercheur en sécurité chez Nokia, a déclaré que la plupart des adresses IP impliquées dans ces attaques n'avaient jusqu'alors jamais été associées à une activité DDoS, ce qui rend l'émergence d'Eleven11bot particulièrement inquiétante. Il a également souligné que le dernier botnet comparable de cette ampleur avait été découvert en 2022, peu après le conflit russo-ukrainien, avec environ 60 000 appareils infectés.
« Ce botnet est bien plus vaste que ce que l'on observe habituellement dans les attaques DDoS », a déclaré Meyer. « L'intensité des attaques varie considérablement, de quelques centaines de milliers à quelques centaines de millions de paquets par seconde. »
L’estimation de Nokia est-elle exacte ?
Alors que Nokia estime que le botnet compte environ 30 000 appareils, la fondation à but non lucratif Shadowserver Foundation a révisé ce chiffre à la hausse, le portant à plus de 86 000. L'entreprise de sécurité Greynoise, quant à elle, a avancé une estimation bien inférieure, à un peu moins de 5 000 appareils, dont 61 % de l'activité IP provenant d'Iran. Meyer suggère que le chiffre de Shadowserver pourrait être trop élevé en raison de la manière dont les appareils infectés sont identifiés.
Les chercheurs de Greynoise pensent qu'Eleven11bot est une nouvelle variante de Mirai, un malware populaire de 2016 qui infecte souvent les objets connectés (IoT) en exploitant les identifiants par défaut ou des vulnérabilités logicielles. Ils affirment qu'Eleven11bot a utilisé une nouvelle vulnérabilité pour infiltrer l'enregistreur vidéo numérique Shenzhen TVT-NVMS 9000.
Pour se protéger contre Eleven11bot et d'autres botnets, les experts recommandent aux utilisateurs de placer les appareils IoT derrière des pare-feu, de désactiver l'administration à distance lorsque cela n'est pas nécessaire, d'utiliser des mots de passe forts et uniques et de mettre à jour régulièrement le micrologiciel pour corriger les vulnérabilités que les botnets peuvent exploiter.
Source : https://thanhnien.vn/nokia-phat-hien-cuoc-tan-cong-ddos-lon-chua-tung-thay-185250307151845521.htm
Comment (0)