Mạng lưới bot Eleven11bot

Một phần mềm độc hại botnet mới được phát hiện, có tên là Eleven11bot, đã lây nhiễm hơn 86.000 thiết bị IoT, với camera an ninh và đầu ghi video mạng (NVR) là mục tiêu chính. Botnet khổng lồ này đang được sử dụng để phát động các cuộc tấn công DDoS (Từ chối dịch vụ phân tán), gây ra sự gián đoạn của các dịch vụ viễn thông và máy chủ trò chơi trực tuyến.

Một mạng lưới botnet có quy mô chưa từng có

Theo các nhà nghiên cứu bảo mật, Eleven11bot là một trong những botnet DDoS lớn nhất được phát hiện trong những năm gần đây. Ban đầu bao gồm hơn 30.000 webcam và NVR bị xâm phạm, botnet này hiện đã phát triển lên 86.400 thiết bị. Sự mở rộng nhanh chóng này khiến nó trở thành một trong những chiến dịch botnet quan trọng nhất được thấy kể từ cuộc xâm lược Ukraine năm 2022.

Phần lớn các thiết bị bị nhiễm được phát hiện ở Hoa Kỳ, Vương quốc Anh, Mexico, Canada và Úc, trong đó một số lượng đáng kể có liên quan đến Iran.

Khả năng tấn công lớn

Quy mô tuyệt đối của các cuộc tấn công của Eleven11bot là đáng báo động. Botnet có khả năng phát động các cuộc tấn công đạt tới hàng trăm triệu gói tin mỗi giây, một số kéo dài nhiều ngày. Các chuyên gia bảo mật đã xác định được 1.400 IP có liên quan đến hoạt động của botnet trong tháng qua, với 96% đến từ các thiết bị thực, không phải địa chỉ giả mạo. Phần lớn các IP này được truy xuất ngược về Iran, với hơn 300 IP được phân loại là độc hại.

Nhiễm trùng lây lan như thế nào

Eleven11bot lây lan chủ yếu bằng cách tấn công brute-force thông tin đăng nhập quản trị yếu trên các thiết bị IoT. Nó lợi dụng thông tin đăng nhập mặc định, thường không thay đổi, và chủ động quét các cổng Telnet và SSH bị lộ để xâm nhập vào các thiết bị. Phương pháp này cho phép phần mềm độc hại mở rộng nhanh chóng trên các mạng dễ bị tấn công.

Cách bảo vệ thiết bị IoT của bạn

Để giảm thiểu nguy cơ lây nhiễm và bảo mật các thiết bị IoT của bạn, điều quan trọng là phải triển khai một loạt các biện pháp tốt nhất được thiết kế để ngăn chặn truy cập trái phép và bảo vệ chống lại các lỗ hổng. Sau đây là một số chiến lược chính cần cân nhắc:

1. Nâng cấp chương trình cơ sở thường xuyên : Một trong những bước quan trọng nhất để bảo mật các thiết bị IoT là cập nhật chương trình cơ sở của chúng. Các nhà sản xuất thường phát hành các bản cập nhật chương trình cơ sở để vá các lỗ hổng bảo mật mới được phát hiện. Các bản cập nhật này được thiết kế để sửa các lỗi mà kẻ tấn công có thể lợi dụng để truy cập vào thiết bị của bạn. Nên bật các bản cập nhật tự động bất cứ khi nào có thể, nhưng bạn cũng nên kiểm tra các bản cập nhật thủ công định kỳ. Không cập nhật chương trình cơ sở thường xuyên có thể khiến thiết bị của bạn bị phần mềm độc hại tấn công, như Eleven11bot, thường lợi dụng phần mềm lỗi thời.

• Tắt tính năng truy cập từ xa khi không cần thiết : Nhiều thiết bị IoT có khả năng truy cập từ xa cho phép người dùng quản lý thiết bị từ bất kỳ đâu. Mặc dù tiện lợi, nhưng việc bật các tính năng này một cách không cần thiết có thể mở ra cửa hậu cho tin tặc. Nếu bạn không cần truy cập từ xa, hãy đảm bảo tắt Telnet, SSH hoặc bất kỳ cổng truy cập từ xa nào khác để kẻ tấn công khó xâm phạm thiết bị của bạn hơn. Điều này làm giảm đáng kể bề mặt tấn công tiềm ẩn. Ngay cả khi cần truy cập từ xa cho các tác vụ cụ thể, hãy đảm bảo rằng nó được giới hạn trong các mạng đáng tin cậy và được bảo mật bằng mã hóa mạnh.

• Giám sát Vòng đời Thiết bị và Lên kế hoạch Thay thế : Không giống như máy tính truyền thống, nhiều thiết bị IoT không nhận được hỗ trợ dài hạn từ nhà sản xuất. Việc thiếu hỗ trợ này có nghĩa là các thiết bị có thể ngừng nhận được các bản cập nhật bảo mật hoặc trở nên dễ bị tấn công theo thời gian. Điều cần thiết là phải nhận thức được trạng thái kết thúc vòng đời (EOL) của các thiết bị IoT của bạn. Khi một thiết bị đạt đến EOL, điều quan trọng là phải thay thế nó bằng một mẫu mới hơn, an toàn hơn hoặc đảm bảo rằng nó được cô lập an toàn khỏi các mạng nhạy cảm. Việc thường xuyên xem xét các thiết bị của bạn và thay thế các mẫu lỗi thời đảm bảo rằng chúng được trang bị các tính năng bảo mật mới nhất và ít có khả năng trở thành mục tiêu của các botnet như Eleven11bot.

• Sử dụng Phân đoạn mạng : Để giảm thiểu rủi ro hơn nữa, hãy phân đoạn mạng của bạn để cô lập các thiết bị IoT của bạn khỏi các phần quan trọng hơn của mạng, chẳng hạn như các thiết bị lưu trữ dữ liệu nhạy cảm. Theo cách này, ngay cả khi một thiết bị bị xâm phạm, nó sẽ không thể lây lan sang các tài sản quan trọng hơn. Hãy cân nhắc sử dụng mạng LAN ảo (VLAN) để tạo các phân đoạn mạng riêng biệt cho các loại thiết bị khác nhau. Lớp bảo mật bổ sung này khiến tin tặc khó có thể di chuyển ngang trong mạng của bạn.

• Sử dụng Tường lửa mạng mạnh và Hệ thống phát hiện xâm nhập : Ngoài việc bảo vệ các thiết bị riêng lẻ, hãy đảm bảo mạng của bạn có các biện pháp bảo mật mạnh mẽ. Tường lửa mạnh có thể giúp chặn truy cập trái phép, trong khi Hệ thống phát hiện xâm nhập (IDS) có thể phát hiện hoạt động bất thường hoặc các cuộc tấn công tiềm ẩn. Các công cụ này hoạt động cùng nhau để thêm một lớp phòng thủ khác, giúp xác định và ngăn chặn lưu lượng độc hại trước khi chúng có thể lây nhiễm vào thiết bị của bạn.

• Thận trọng với các ứng dụng IoT của bên thứ ba : Khi tích hợp các ứng dụng của bên thứ ba với thiết bị IoT của bạn, hãy luôn đảm bảo rằng ứng dụng hoặc dịch vụ đó đến từ một nguồn đáng tin cậy. Nhiều thiết bị IoT dựa vào các ứng dụng đi kèm để thiết lập và quản lý, nhưng một số ứng dụng này có thể có lỗ hổng bảo mật mà kẻ tấn công có thể khai thác. Đọc kỹ các đánh giá của người dùng và kiểm tra mọi sự cố bảo mật đã biết với các ứng dụng bạn đang sử dụng. Ngoài ra, hãy đảm bảo rằng các ứng dụng của bên thứ ba có chính sách bảo mật chặt chẽ và không bao giờ chia sẻ dữ liệu nhạy cảm mà không có sự đồng ý của bạn.

Bằng cách áp dụng các biện pháp này, người dùng có thể giảm đáng kể khả năng các thiết bị IoT của họ bị xâm phạm và kết hợp vào các botnet như Eleven11bot, điều này có thể dẫn đến gián đoạn mạng, vi phạm dữ liệu và các cuộc tấn công mạng nghiêm trọng hơn. Bảo vệ các thiết bị IoT của bạn không chỉ là bảo mật các tiện ích riêng lẻ mà còn là thiết lập một phương pháp tiếp cận bảo mật toàn diện bao gồm cả các biện pháp kỹ thuật và tư duy chủ động.