Sebuah botnet jaringan yang baru ditemukan yang terdiri dari sekitar 30.000 webcam dan perekam video – dengan konsentrasi terbesar di AS – telah memberikan serangan penolakan layanan yang kemungkinan besar merupakan yang terbesar yang pernah terjadi, kata seorang peneliti keamanan di dalam Nokia.
Botnet, yang dilacak dengan nama Eleven11bot, pertama kali terungkap pada akhir Februari ketika para peneliti di dalam Tim Tanggap Darurat Deepfield Nokia mengamati sejumlah besar alamat IP yang tersebar geografis memberikan “serangan hiper-volumetrik.” Eleven11bot telah memberikan serangan skala besar sejak saat itu.
Serangan Volumetrik DDoS menutup layanan dengan mengkonsumsi semua bandwidth yang tersedia baik di dalam jaringan yang ditargetkan maupun koneksi ke Internet. Pendekatan ini berbeda dengan DDoS kelelahan, yang melebihi sumber daya komputasi dari sebuah server. Serangan hipervolumetrik adalah DDoS volumetrik yang memberikan jumlah data yang mengagumkan, biasanya diukur dalam terabit per detik.
Botnet Johnny-Come-Lately Mencatat Rekor Baru
Dengan 30.000 perangkat, Eleven11bot sudah sangat besar (meskipun beberapa botnet melebihi 100.000 perangkat). Sebagian besar alamat IP yang berpartisipasi, kata peneliti Nokia Jérôme Meyer kepada saya, tidak pernah terlihat terlibat dalam serangan DDoS sebelumnya.
Selain botnet 30.000 node yang tampaknya muncul dalam semalam, fitur menonjol lain dari Eleven11bot adalah jumlah data ukuran rekor yang dikirimkannya ke targetnya. Yang terbesar yang pernah dilihat Nokia dari Eleven11bot sejauh ini terjadi pada 27 Februari dan mencapai sekitar 6,5 terabit per detik. Rekor sebelumnya untuk serangan volumetrik dilaporkan pada Januari sebesar 5,6 Tbps.
“Eleven11bot telah menargetkan berbagai sektor, termasuk penyedia layanan komunikasi dan infrastruktur hosting game, memanfaatkan berbagai vektor serangan,” tulis Meyer. Sementara dalam beberapa kasus serangan didasarkan pada volume data, yang lain fokus pada membanjiri koneksi dengan paket data lebih dari yang dapat ditangani koneksi, dengan jumlah berkisar dari “beberapa ratus ribu hingga beberapa ratus juta paket per detik.” Degradasi layanan yang disebabkan dalam beberapa serangan telah berlangsung beberapa hari, dengan beberapa masih berlangsung pada saat tulisan ini dipublikasikan.
Sebuah pemecahan menunjukkan bahwa konsentrasi alamat IP terbesar, sebesar 24,4 persen, terletak di AS. Taiwan berada di posisi berikutnya dengan 17,7 persen, dan Inggris 6,5 persen.
Dalam wawancara online, Meyer menyatakan beberapa poin berikut:
Botnet ini jauh lebih besar dari yang biasa kita lihat dalam serangan DDoS (satu-satunya preseden yang ada dalam pikiran saya adalah serangan dari tahun 2022 tepat setelah invasi Ukraina, sekitar ~60k bot, namun tidak publik). Sebagian besar IP-nya tidak terlibat dalam serangan DDoS sebelum minggu lalu. Sebagian besar IP adalah kamera keamanan (Censys berpikir Hisilicon, saya melihat beberapa sumber berbicara dengan NVR Hikvision juga jadi itu mungkin tapi bukan bidang keahlian saya). Sebagian karena botnet ini lebih besar dari rata-rata, ukuran serangannya juga lebih besar dari rata-rata.