I ricercatori del Deepfield Emergency Response Team di Nokia hanno individuato nei giorni scorsi l’esistenza di una nuova botnet, chiamata Eleven11bot, che sarebbe responsabile del più grande attacco DDoS mai registrato. La botnet, composta da circa 30.000 dispositivi compromessi, per lo più webcam di sicurezza, è stata identificata per la prima volta il 27 febbraio e sembra essere comparsa improvvisamente dall’oggi al domani.
Pur con una prevalenza negli Stati Uniti, i dispositivi assoggettati alla botnet sono distribuiti in tutto il mondo e impegnati in attacchi ipervolumetrici. Questo genere di attacchi prevedono l’invio di enormi quantità di dati: i ricercatori di sicurezza di Nokia hanno registrato un picco, da parte di Eleven11bot, di ben 6,5 terabit al secondo (il record precedente era di 5,6 tbps, registrato a gennaio). Lo scopo, com’è facilmente immaginabile, è quello di consumando tutta la larghezza di banda disponibile all’interno della rete bersaglio o nella sua connessione a Internet e causare così difficoltà nell’erogazione dei servizi.
Eleven11bot ha colpito diversi settori, tra cui provider di servizi di comunicazione e infrastrutture di hosting per videogiochi, utilizzando una varietà di vettori di attacco. Mentre alcuni attacchi si concentrano sul volume dei dati, altri investono le connessioni con un numero di pacchetti di dati superiore a quanto possa gestire la connessione stessa, con cifre che vanno da alcune centinaia di migliaia a diverse centinaia di milioni di pacchetti al secondo. La compromissione dei servizi causata da alcuni attacchi è durata diversi giorni, con alcuni che sono ancora in corso.
La vicenda è stata analizzata anche dalla società di sicurezza Greynoise, la quale indica che Eleven11bot è probabilmente una variante del malware Mirai, la famigerata famiglia di malware il cui scopo è proprio quello di infettare dispositivi IoT come telecamere e altri disposotivi IoT connessi. Secondo le analisi della di Greynoise, la variante alla base di Eleven11bot utilizza un nuovo exploit per infettare i videoregistratori digitali TVT-NVMS 9000 che utilizzano chip HiSilicon.
Mirai è una vecchia conoscenza: la sua comparsa sulle scene risale al 2016, quando fu ptrotagonista di un’ondata di attacchi DDoS da 1 terabit al secondo (un record, allora) che avevano tra l’altro messo in ginocchio per quasi una settimana il sito web KrebsOnSecurity, del noto ricercatore di sicurezza Brian Krebs. Le cose si sono però aggravate quando, non molto dopo, gli sviluppatori di Mirai hanno pubblicato il codice sorgente, facilitando la creazione di varianti che possono eseguire attacchi simili.
Le botnet basati su Mirai utilizzano diversi metodi per infettare i dispositivi bersaglio. Uno dei metodi comuni consiste nel tentare di accedere agli account amministratore dei dispositivi utilizzando combinazioni username/password comunemente impostate come valori predefiniti dai produttori. I botnet Mirai sono noti anche per sfruttare vulnerabilità che bypassano le impostazioni di sicurezza.
We started scanning for IoT devices compromised by the Eleven11bot DDoS botnet, with ~86.4K discovered on 2025-03-02. IP data is shared daily in our Compromised IoT report https://t.co/92PBnEQhqG
Top affected: US (24.7K), UK (10.8K).
Dashboard map view: https://t.co/pL82jUmWeq pic.twitter.com/H9sNUB404j
— The Shadowserver Foundation (@Shadowserver) March 4, 2025
C’è discordanza sul numero di dispositivi che parteciperebbero ad Eleven11bot: Nokia, come detto, ne indica circa 30 mila (che corrispondono al numero di indirizzi IP che hanno partecipato all’attacco) mentre Shadowserver Foundation sostiene che il numero di dispositivi coinvolti sarebbe addirittura superiore agli 86 mila. Secondo Greynoise, invece, si tratterebbe in entrambi i casi di stime eccessive e il numero reale di dispositivi assoggettati alla botnet sarebbero circa 5000, sulla base di alcuni dati forniti da Censys.
Vicende come questa ci ricordano che la presenza di dispositivi IoT nella nostra rete domestica dovrebbe essere protetta da un router o un firewall che non li renda visibili all’esterno, oltre ovviamente a cambiare le credenziali di default e di provvedere tempestivamente agli aggiornamenti di sicurezza.