大规模僵尸网络入侵并操纵30000多台设备发起破纪录的DDoS攻击

诺基亚的安全研究人员正在跟踪一个被称为 Eleven11bot 的僵尸网络，该网络一直在进行有记录以来最大规模的定向拒绝服务攻击。 估计有 30000 个网络摄像头和录像机组成了这个庞大的僵尸网络。 该网络遍布全球，但诺基亚表示，被攻击设备最集中的地方（24.4%）在美国。 根据 Cloudflare 的数据，虽然它不是有记录以来最大的僵尸网络，但它已经完成了有史以来最大的观测攻击，峰值达到每秒 6.5 太比特，超过了此前在 1 月份创下的 5.6 Tbps 记录。

诺基亚的 Deepfield 应急响应小组在 2 月下旬地理位置分散的 IP 地址激增并发起数次"超体积攻击"后检测到了 Eleven11bot。 与以服务器资源为目标的传统穷举式 DDoS 攻击不同，"体积攻击"通过大量数据淹没网络，使带宽容量不堪重负。 Eleven11bot 的超体积攻击以通信服务提供商、游戏托管基础设施和其他行业为目标，在某些情况下造成了长达一周的中断。

诺基亚安全研究员杰罗姆-迈耶（Jérôme Meyer）指出，参与这些攻击的大多数 IP 地址以前都与 DDoS 活动无关，因此 Eleven11bot 的突然出现尤其令人担忧。 他还指出，上一次出现这种规模的僵尸网络是在 2022 年，即俄罗斯入侵乌克兰后不久，当时大约有 60，000 台设备受到感染。

梅耶尔说："这个僵尸网络比我们常见的 DDoS 攻击要大得多。攻击强度变化很大，从每秒几十万到几亿个数据包（pps）不等。"

诺基亚最初估计僵尸网络由大约 3 万台设备组成，但非营利组织 Shadowserver 基金会将这一数字修订为超过 8.6 万台。 相反，安全公司 Greynoise反驳说，这一数字要低得多，估计不到 5000 台设备，其中来自伊朗的 IP 活动最多（61%）。 Meyer 表示，Shadowserver 的数字很可能被高估了，因为它是如何识别受感染设备的，错误地认为唯一的设备信息意味着设备已被入侵。 他对自己团队的估计仍然充满信心，因为重复攻击都来自相同的 2 万到 3 万个观察到的 IP 地址。

Greynoise 的研究人员认为，Eleven11bot 是 2016 年首次出现的臭名昭著的恶意软件 Mirai 的新变种。 基于 Mirai 的僵尸网络通常利用默认凭据或软件漏洞感染物联网（IoT）设备。 研究人员认为，Eleven11bot 变种利用新发现的漏洞破坏在海思芯片上运行的 TVT-NVMS 9000 数字视频录像机。

为防范 Eleven11bot 或任何其他僵尸网络，专家建议将物联网设备置于防火墙之后，在不需要时禁用远程管理，并确保设备拥有强大、唯一的密码。 定期固件更新对于修补 Eleven11bot 等僵尸网络可能利用的漏洞也至关重要。