Một loại mã độc mới có tên “Eleven11bot” được xác định đã lây nhiễm hơn 86 nghìn thiết bị IOT, chủ yếu là các camera an ninh hoặc các máy ghi hình mạng NVRs (Network Video Recorders) với mục đích sử dụng cho các cuộc tấn công DDoS.

Các nhà nghiên cứu bảo mật trong Đội Phản ứng Khẩn cấp ERT - Emergency Response Team thuộc Nokia Deepfield, vừa qua đã công bố một mạng lưới botnet mới với hơn 30 nghìn thiết bị bị lây nhiễm. Được đặt tên Eleven11bot, botnet này được xây dựng chủ yếu từ các thiết bị IOT như camera an ninh hay các thiết bị ghi hình mạng NVR.

Theo báo cáo trên, Eleven11bot được sử dụng trong các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS), nhắm tới các nhà cung cấp dịch vụ viễn thông và nền tảng trò chơi với các cuộc tấn công diễn ra trong nhiều ngày, gây gián đoạn trên quy mô lớn. Tính tới thời điểm hiện tại, số lượng các thiết bị bị lây nhiễm Eleven11bot theo thống kê của ShadowServer đã lên tới hơn 86 nghìn thiết bị trên phạm vi toàn cầu.

Hình 1: Số lượng các thiết bị nhiễm Eleven11bot trên toàn cầu - Nguồn: The Shadowserver Foundation

Sau báo cáo của Nokia Deepfield, một danh sách các IP có liên kết với Eleven11bot cũng đã được GreyNoise công khai và tiến hành nghiên cứu. Cụ thể, các nhà nghiên cứu thuộc GreyNoise đã kết luận:

• 96% các IP được cung cấp là không thể giả mạo, có nghĩa rằng các IP này đến từ các thiết bị chính hãng và có thể truy cập được.

• 61% các IP được cung cấp có nguồn gốc từ Iran.

• 305 trong tổng số 1042 IP được phân loại vào mức độc hại cao.

Hình 2: Các IP độc hại có liên kết với Eleven11bot - Nguồn: GreyNoise

Dữ liệu mà GreyNoise thu thập được không những đưa ra các hoạt động độc hại của Eleven11bot, mặt khác đã chỉ ra phương thức, cách thức để botnet này có thể mở rộng. Cụ thể:

• Tấn công Brute-force: Thực hiện các cuộc tấn công brute-force lên các thiết bị IOT có mức độ bảo mật yếu, quản trị viên sử dụng các mật khẩu đơn giản hoặc phổ biến để truy cập và quản lý.

• Tấn công nhắm mục tiêu: Tập trung khai thác các camera an ninh sử dụng thông tin đăng nhập được mã hoá cứng, chẳng hạn như VStarcam.

• Dò quét các cổng Telnet và SSH: Các thiết bị IOT thường không có nhiều biện pháp bảo mật trên các cổng này, khiến đây trở thành mục tiêu dễ bị khai thác cho tin tặc.

Khuyến nghị

Để chống lại nguy cơ bị lây nhiễm Eleven11bot trên các thiết bị IOT, phía GreyNoise cung cấp một số khuyến nghị giúp người dùng bảo vệ bản thân trước botnet và các mối đe doạ an ninh mạng tương tự, gồm:

• Chặn truy cập tới các địa chỉ IP độc hại: Tiến hành ngăn chặn lưu lượng truy cập đến các địa chỉ IP được xác định mức độ độc hại.

• Giám sát nhật ký (log) trên mạng nhằm phát hiện các truy cập bất thường: Việc giám sát log có thể phát hiện các hành vi cố gắng đăng nhập thông qua SSH (cổng 22) hay Telnet (cổng 23).

• Bảo mật cho các thiết bị IOT: Nâng cao bảo mật cho các thiết bị IOT. Đổi mật khẩu mặc định của thiết bị, cập nhật các bản vá bảo mật và vô hiệu hoá quyền truy cập từ xa nếu như không cần thiết.

• Giới hạn tốc độ truy cập, kích hoạt tính năng DDoS protection: Do yêu cầu thực hiện các cuộc tấn công cường độ cao với botnet, người dùng có thể giới hạn tốc độ truy cập mà thiết bị có thể thực hiện trong một khoảng thời gian. Mặt khác, DDoS protection cũng nên được bật để ngăn chặn và giảm thiểu tác động từ các cuộc tấn công DDoS.

Tham khảo

1. GreyNoise blog: https://www.greynoise.io/blog/new-ddos-botnet-discovered
2. The Shadowserver Dashboard: https://dashboard.shadowserver.org/statistics/combined/map/?map_type=std&day=2025-03-03&source=compromised_iot&tag=eleven11bot%2B&geo=all&data_set=count&scale=log
3. Bleeping Computer: https://www.bleepingcomputer.com/news/security/new-eleven11bot-botnet-infects-86-000-devices-for-ddos-attacks/