Заражённые устройства используются для проведения масштабных DDoS-атак, направленных на телекоммуникационные компании и серверы онлайн-игр.
О наличии угрозы сообщили исследователи Nokia, которые передали собранные данные платформе мониторинга GreyNoise. По словам специалиста по кибербезопасности Жерома Мейера, Eleven11bot представляет собой одну из крупнейших ботнет-кампаний последних лет, пишет Securitylab.
Он отметил, что уже на раннем этапе количество заражённых устройств превысило 30 000, а дальнейшее распространение сделало эту угрозу одной из самых масштабных атак со стороны негосударственных группировок с 2022 года.
По данным Shadowserver, число инфицированных устройств к текущему моменту достигло 86 400, большинство из которых находится в США, Великобритании, Мексике, Канаде и Австралии. Анализ трафика показал, что атаки ботнета достигают сотен миллионов пакетов в секунду, а их продолжительность может составлять несколько суток.
Эксперты GreyNoise совместно с Censys зафиксировали 1400 IP-адресов, связанных с деятельностью Eleven11bot. В 96% случаев заражённые устройства оказались реальными, а не поддельными. Наибольшее число вредоносных IP-адресов обнаружено в Иране, при этом более 300 из них классифицированы как вредоносные.
Распространение ботнета осуществляется через подбор слабых паролей, использование стандартных учётных данных, предустановленных на определённых моделях IoT-устройств, а также активное сканирование сетей на наличие открытых портов Telnet и SSH. GreyNoise опубликовала список IP-адресов, связанных с Eleven11bot, и рекомендует защитным системам блокировать их, а также отслеживать подозрительные попытки входа.