Hail the Judge
Ta chơi xong không trả tiền, vậy đâu có gọi là bán
Các nhà nghiên cứu bảo mật của Nokia đang theo dõi một mạng botnet có tên Eleven11bot, được cho là đã thực hiện cuộc tấn công từ chối dịch vụ phân tán (DDoS) lớn nhất từng được ghi nhận. Với khoảng 30.000 webcam và máy ghi hình bị xâm nhập, mạng botnet này tuy không phải là lớn nhất về số lượng thiết bị, nhưng đã tạo ra cuộc tấn công có lưu lượng đỉnh điểm lên đến 6,5 terabit mỗi giây (Tbps) vào cuối tháng 2/2025, vượt qua kỷ lục trước đó là 5,6 Tbps do Cloudflare ghi nhận vào tháng 1/2025.
Nhóm Ứng phó Khẩn cấp Deepfield của Nokia phát hiện Eleven11bot sau khi nhận thấy một loạt địa chỉ IP phân bố rộng khắp địa lý bắt đầu các cuộc tấn công siêu khối lượng (hyper-volumetric) vào cuối tháng 2/2025. Không giống các cuộc tấn công DDoS truyền thống nhắm vào tài nguyên máy chủ, các cuộc tấn công siêu khối lượng của Eleven11bot tập trung ngập lụt mạng bằng lượng dữ liệu khổng lồ, làm quá tải dung lượng băng thông. Chúng đã nhắm vào các nhà cung cấp dịch vụ truyền thông, hạ tầng lưu trữ trò chơi và nhiều ngành khác, gây gián đoạn kéo dài tới cả tuần trong một số trường hợp.
Nhà nghiên cứu bảo mật Nokia Jérôme Meyer cho biết: “Hầu hết các địa chỉ IP tham gia chưa từng liên quan đến các cuộc tấn công DDoS trước đây, khiến sự xuất hiện đột ngột của Eleven11bot đặc biệt đáng lo ngại.” Ông so sánh quy mô botnet này với một mạng lưới lớn từng xuất hiện vào năm 2022 sau khi xảy ra giao tranh giữa Ukraine với Nga, khoảng 60.000 thiết bị bị nhiễm. “Botnet này lớn hơn nhiều so với những gì chúng ta thường thấy trong các cuộc tấn công DDoS,” Meyer nhấn mạnh, lưu ý rằng cường độ tấn công dao động từ vài trăm nghìn đến hàng trăm triệu gói tin mỗi giây (pps).
Nokia ban đầu ước tính Eleven11bot bao gồm khoảng 30.000 thiết bị, chủ yếu là webcam và máy ghi hình, với 24,4% tập trung tại Mỹ, khiến đây là khu vực bị ảnh hưởng nặng nhất. Tuy nhiên, tổ chức phi lợi nhuận Shadowserver Foundation đưa ra con số cao hơn, tới hơn 86.000 thiết bị. Ngược lại, công ty bảo mật Greynoise cho rằng quy mô thực tế nhỏ hơn nhiều, dưới 5.000 thiết bị, với 61% hoạt động IP đến từ Iran. Meyer phản bác số liệu của Shadowserver, cho rằng họ có thể đã đánh giá quá cao do nhầm lẫn trong cách xác định thiết bị bị nhiễm. Ông khẳng định số liệu của Nokia – dựa trên quan sát lặp lại từ 20.000-30.000 địa chỉ IP – là đáng tin cậy hơn.
Greynoise nhận định Eleven11bot có thể là một biến thể mới của Mirai, mã độc khét tiếng xuất hiện năm 2016. Mirai thường lây nhiễm các thiết bị Internet vạn vật (IoT) bằng cách khai thác thông tin đăng nhập mặc định hoặc lỗ hổng phần mềm. Các nhà nghiên cứu tin rằng Eleven11bot sử dụng một lỗ hổng mới được phát hiện để tấn công máy ghi hình số Shenzhen TVT-NVMS 9000 chạy chip HiSilicon. Điều này giải thích sự gia tăng đột ngột của botnet, khi nó nhanh chóng lây lan qua các thiết bị dễ bị tổn thương.
Cuộc tấn công 6,5 Tbps vào ngày 27/2/2025 không chỉ lập kỷ lục về lưu lượng mà còn cho thấy khả năng gây rối nghiêm trọng của Eleven11bot. Với lưu lượng siêu lớn, botnet này có thể làm tê liệt băng thông của các nhà cung cấp dịch vụ hoặc kết nối internet của mục tiêu. So với kỷ lục trước đó (5,6 Tbps từ botnet Mirai nhắm vào một ISP Đông Á vào tháng 10/2024), Eleven11bot thể hiện bước tiến về quy mô và hiệu quả tấn công.
Nhóm Ứng phó Khẩn cấp Deepfield của Nokia phát hiện Eleven11bot sau khi nhận thấy một loạt địa chỉ IP phân bố rộng khắp địa lý bắt đầu các cuộc tấn công siêu khối lượng (hyper-volumetric) vào cuối tháng 2/2025. Không giống các cuộc tấn công DDoS truyền thống nhắm vào tài nguyên máy chủ, các cuộc tấn công siêu khối lượng của Eleven11bot tập trung ngập lụt mạng bằng lượng dữ liệu khổng lồ, làm quá tải dung lượng băng thông. Chúng đã nhắm vào các nhà cung cấp dịch vụ truyền thông, hạ tầng lưu trữ trò chơi và nhiều ngành khác, gây gián đoạn kéo dài tới cả tuần trong một số trường hợp.
Nhà nghiên cứu bảo mật Nokia Jérôme Meyer cho biết: “Hầu hết các địa chỉ IP tham gia chưa từng liên quan đến các cuộc tấn công DDoS trước đây, khiến sự xuất hiện đột ngột của Eleven11bot đặc biệt đáng lo ngại.” Ông so sánh quy mô botnet này với một mạng lưới lớn từng xuất hiện vào năm 2022 sau khi xảy ra giao tranh giữa Ukraine với Nga, khoảng 60.000 thiết bị bị nhiễm. “Botnet này lớn hơn nhiều so với những gì chúng ta thường thấy trong các cuộc tấn công DDoS,” Meyer nhấn mạnh, lưu ý rằng cường độ tấn công dao động từ vài trăm nghìn đến hàng trăm triệu gói tin mỗi giây (pps).
Nokia ban đầu ước tính Eleven11bot bao gồm khoảng 30.000 thiết bị, chủ yếu là webcam và máy ghi hình, với 24,4% tập trung tại Mỹ, khiến đây là khu vực bị ảnh hưởng nặng nhất. Tuy nhiên, tổ chức phi lợi nhuận Shadowserver Foundation đưa ra con số cao hơn, tới hơn 86.000 thiết bị. Ngược lại, công ty bảo mật Greynoise cho rằng quy mô thực tế nhỏ hơn nhiều, dưới 5.000 thiết bị, với 61% hoạt động IP đến từ Iran. Meyer phản bác số liệu của Shadowserver, cho rằng họ có thể đã đánh giá quá cao do nhầm lẫn trong cách xác định thiết bị bị nhiễm. Ông khẳng định số liệu của Nokia – dựa trên quan sát lặp lại từ 20.000-30.000 địa chỉ IP – là đáng tin cậy hơn.
Greynoise nhận định Eleven11bot có thể là một biến thể mới của Mirai, mã độc khét tiếng xuất hiện năm 2016. Mirai thường lây nhiễm các thiết bị Internet vạn vật (IoT) bằng cách khai thác thông tin đăng nhập mặc định hoặc lỗ hổng phần mềm. Các nhà nghiên cứu tin rằng Eleven11bot sử dụng một lỗ hổng mới được phát hiện để tấn công máy ghi hình số Shenzhen TVT-NVMS 9000 chạy chip HiSilicon. Điều này giải thích sự gia tăng đột ngột của botnet, khi nó nhanh chóng lây lan qua các thiết bị dễ bị tổn thương.
Cuộc tấn công 6,5 Tbps vào ngày 27/2/2025 không chỉ lập kỷ lục về lưu lượng mà còn cho thấy khả năng gây rối nghiêm trọng của Eleven11bot. Với lưu lượng siêu lớn, botnet này có thể làm tê liệt băng thông của các nhà cung cấp dịch vụ hoặc kết nối internet của mục tiêu. So với kỷ lục trước đó (5,6 Tbps từ botnet Mirai nhắm vào một ISP Đông Á vào tháng 10/2024), Eleven11bot thể hiện bước tiến về quy mô và hiệu quả tấn công.
