Túlságosan eleven az Eleven11bot hálózat

Az Eleven11bot kártékony hálózat már több mint 80 ezer kompromittált eszköz bevonásával segíti az elosztott szolgáltatásmegtagadási támadások végrehajtását.
 

Az Eleven11bot nevű botnet növekedése meglehetősen aggasztó méreteket kezd ölteni, amire a Nokia, illetve a GreyNoise biztonsági kutatói is felfigyeltek. A mélyreható vizsgálataik során arra a következtetésre jutottak, hogy ez a botnet tekinthető napjaink egyik legaktívabb, IoT-eszközökből felépített kártékony hálózatának. Jelenleg több mint 86 ezer kompromittált készüléket foglal magában, amelyek koordinált irányításával elosztott szolgáltatásmegtagadási támadásokat indíthatnak a kiberbűnözők.
 
A botnet jelentős részét meghackelt biztonsági kamerák és hálózati videórögzítő egységek (NVR-ek) alkotják. Ezeket a támadók jelenleg a legnagyobb számban telekommunikációs szolgáltatások, illetve online játékkiszolgálók megbénításához használják. Ugyanakkor semmiféle korlátja nincs annak, hogy más jellegű szolgáltatások is célkeresztbe kerüljenek.
 
A Shadowserver adatai szerint az Eleven11bot "zombi hadserege" az Egyesült Államokban a legnagyobb, de sok manipulált eszköz csatlakozik hozzá egyebek mellett Nagy Britanniából, Mexikóból, Kanadából és Ausztráliából is. Sajnos a botnettel hazánk is érintett: a Shadowserver adataiból az látszik, hogy több mint 1600 különféle eszköz működik már az Eleven11bot részeként Magyarországon.
 
A botnet leginkább nem megfelelően védett készülékek ostromlásával terebélyesedik. Elsősorban azt igyekszik kihasználni, hogy az IoT-eszközök esetén gyakorta nem megfelelő a felhasználói fiókok védelme, illetve gyengék az alkalmazott jelszavak (ha egyáltalán a gyári jelszavakat megváltoztatják a készülékek üzemeltetői). Emellett a támadók szoftveres sérülékenységeket tartalmazó eszközök, illetve sebezhető telnet, valamint SSH kapcsolatok után is bőszen keresgélnek.
 
A GreyNoise a botnet kockázatainak csökkentése érdekében az alábbiakat javasolja:

• Mindig meg kell változtatni az alapértelmezett, gyári jelszavakat.
• Rendszeresen frissíteni kell az IoT-eszközöket.
• Csak akkor indokolt internet felől elérhetővé tenni ezeket a készülékeket, ha távoli kapcsolatra valóban szükség van.
• Érdemes izolálni e készülékeket a helyi hálózatban.

 
A GreyNoise kutatói megemlítették, hogy az IoT-termékek gyártói sok esetben nem biztosítanak hosszú távú támogatást az eszközeikhez, ami miatt azok - frissítések hiányában - könnyedén sérülékennyé válhatnak. Ezért a támogatással már nem rendelkező eszközök cseréjét a lehetőségekhez mérten mielőbb javasolt elvégezni, még ha ez pénzügyi kiadásokkal is jár.