Bonsoir à toutes et à tous, Je souhaitais vous faire part de la découverte récente d'un nouveau botnet DDoS que nous (= Nokia Deepfield) observons activement depuis 48 heures environ sur plusieurs réseaux clients, notamment aux États-Unis, en Irak et aux Pays-Bas.
Ce botnet se distingue par un nombre exceptionnel d'appareils compromis (plus de 30 000), une ampleur rarement observée hormis brièvement après l’invasion de l’Ukraine, ainsi que par sa capacité d'attaque extrêmement forte. Nous avons en effet relevé plusieurs incidents avec des pics atteignant 6 à 7 Tbps. Toutefois, toutes les attaques n'atteignent pas cette intensité maximale, particulièrement lorsque « seules » quelques milliers d’appareils sont mobilisés contre certaines cibles. Cette découverte vient d'être corroborée il y a quelques heures par Greynoise, entreprise spécialisée dans la surveillance du trafic malveillant (scans et compromissions), qui fournit des indicateurs supplémentaires de compromission disponibles ici : https://www.greynoise.io/blog/new-ddos-botnet-discovered Je reste à disposition pour toute question supplémentaire concernant les impacts potentiels et les stratégies d'atténuation envisageables sur vos réseaux (et partages d’information, bien évidemment). Vous trouverez également ci-dessous des informations que j'ai diffusées plus tôt à destination de nos clients (traduites en français et épurées des instructions spécifiques liées à notre solution). — Jérôme Le 26 février 2025, l'équipe d'intervention d'urgence (ERT) de Deepfield a identifié un nouveau botnet de déni de service distribué (DDoS) majeur, désormais référencé sous le nom d’« Eleven11bot ». Composé principalement de webcams et d'enregistreurs vidéo réseau (NVR) compromis, ce botnet a rapidement dépassé les 30 000 appareils infectés. Sa taille est exceptionnelle parmi les botnets observés qui ne sont pas associés à des acteurs étatiques, le plaçant comme l’une des campagnes DDoS les plus importantes observées depuis l'invasion de l'Ukraine en février 2022. Eleven11bot cible des secteurs divers, notamment les fournisseurs de services de communication et les infrastructures d'hébergement de jeux vidéo, en exploitant une variété de vecteurs d'attaques. L'intensité de ces attaques varie considérablement, allant de quelques centaines de milliers à plusieurs centaines de millions de paquets par seconde (pps). Des forums publics rapportent des campagnes d’attaques prolongées provoquant une dégradation de service durant plusieurs jours, certaines attaques étant toujours en cours. Les bots associés à ce botnet peuvent généralement être identifiés par des bannières hexadécimales caractéristiques comprenant des chaînes telles que head[...]1111 ou head[...]11111111, principalement observées sur le port TCP 17000. Que s’est-il passé ? Depuis sa détection initiale le 26 février 2025, l’équipe d’intervention d’urgence de Deepfield surveille étroitement les activités et l’évolution d’Eleven11bot. Les analyses préliminaires montrent une présence significative et géographiquement dispersée du botnet, couvrant divers pays tels que les États-Unis, le Canada, Israël, l’Espagne, le Royaume-Uni, le Brésil, Taïwan, la Roumanie et le Japon, entre autres. Un indicateur de compromission (IoC) unique, une bannière hexadécimale spécifique contenant des motifs tels que head[...]1111 ou head[...]11111111, permet une identification précise et une mise en place rapide de stratégies de mitigation, intégrées directement dans la plateforme Deepfield Cloud Genome. Qui est affecté ? Eleven11bot compromet principalement des équipements de type IoT, notamment des webcams et des NVR. Grâce à sa capacité à cibler une grande variété de services, ce botnet représente un risque considérable pour plusieurs secteurs, particulièrement les infrastructures de communication et de jeux en ligne. Quel est l’impact ? Dans des scénarios impliquant une activation maximale des bots, Eleven11bot peut lancer des attaques DDoS volumétriques dépassant plusieurs centaines de millions de paquets par seconde sur certains vecteurs. Toutefois, la majorité des attaques observées impliquent moins d’appareils, généralement entre 3 000 et 5 000 bots, constituant néanmoins une menace significative pour la fiabilité des réseaux et la continuité des services. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
