这几周以来,陆续有多组研究人员警告僵尸网络Eleven11bot的动向,目前攻击者绑架了8.6万台物联网设备,目的是进行DDoS攻击,而这些被操控的设备,多半是网络视频摄影机(NVR)与视频摄像头。而对于该僵尸网络的来历,有安全企业指出是Mirai的变种,主要针对海思(HiSilicon)设备而来。
最早发现此事的是Nokia Deepfield紧急应变团队,安全研究员Jérôme Meyer表示他们约自2月26日发现这个DDoS僵尸网络,并指出这个僵尸网络的势力迅速增长,已劫持超过3万台设备。此僵尸网络锁定通信服务供应商及游戏主机基础设施而来,攻击强度差异很大,从每秒发出数十万至数百万个不等。Jérôme Meyer指出,这波攻击行动已有服务受到影响,被迫降级数天,且有部分攻击仍在持续进行。
威胁情报企业GreyNoise通过物联网搜索引擎Censys取得1,400个与该僵尸网络有关的IP地址并进行调查,结果发现其中有1,042个攻击来源,在最近1个月积极攻击他们的传感器。研究人员提及,这些IP地址大部分都是实际能访问的真实设备,其中有636个IP地址位于伊朗,约有305个初步确定是恶意IP地址。
究竟攻击发生的原因为何?GreyNoise指出很有可能与近期美国政府重申对伊朗的制裁有关,因为在美国宣布上述公告的2天之后,僵尸网络的活动出现增加。
而对于黑客入侵受害设备的手法,研究人员指出大致有4种,其中一种是通过暴力破解登录,另一种则是针对用户设置默认密码或是容易被猜到的弱密码而得逞。
此外,GreyNoise提到攻击者也有锁定特定品牌写死帐密的情况下手,或是借由暴露的Telnet及SSH连接端口访问的情况。
针对这起事故的规模,Shadowserver基金会指出,3月2日约有近8.64万台设备被绑架,其中美国有2.47万台最严重,英国有超过1万台居次。
3月5日GreyNoise公布新的调查发现,指出Eleven11bot很有可能是专门锁定海思设备的Mirai变种,而且主要是针对搭配特定版本软件的设备而来。
