Jérôme, Chez moi, je vois pas mal de probing TCP SYN entrant vers le port 17000, ça peut être lié à ça ?
David > Le 1 mars 2025 à 00:06, Jerome Meyer Nokia via frnog <frnog@frnog.org> a > écrit : > > Bonsoir à toutes et à tous, > > Je souhaitais vous faire part de la découverte récente d'un nouveau botnet > DDoS que nous (= Nokia Deepfield) observons activement depuis 48 heures > environ sur plusieurs réseaux clients, notamment aux États-Unis, en Irak et > aux Pays-Bas. > > Ce botnet se distingue par un nombre exceptionnel d'appareils compromis (plus > de 30 000), une ampleur rarement observée hormis brièvement après l’invasion > de l’Ukraine, ainsi que par sa capacité d'attaque extrêmement forte. Nous > avons en effet relevé plusieurs incidents avec des pics atteignant 6 à 7 > Tbps. Toutefois, toutes les attaques n'atteignent pas cette intensité > maximale, particulièrement lorsque « seules » quelques milliers d’appareils > sont mobilisés contre certaines cibles. > > Cette découverte vient d'être corroborée il y a quelques heures par > Greynoise, entreprise spécialisée dans la surveillance du trafic malveillant > (scans et compromissions), qui fournit des indicateurs supplémentaires de > compromission disponibles ici : > https://www.greynoise.io/blog/new-ddos-botnet-discovered > > Je reste à disposition pour toute question supplémentaire concernant les > impacts potentiels et les stratégies d'atténuation envisageables sur vos > réseaux (et partages d’information, bien évidemment). > > Vous trouverez également ci-dessous des informations que j'ai diffusées plus > tôt à destination de nos clients (traduites en français et épurées des > instructions spécifiques liées à notre solution). > > — Jérôme > > > Le 26 février 2025, l'équipe d'intervention d'urgence (ERT) de Deepfield a > identifié un nouveau botnet de déni de service distribué (DDoS) majeur, > désormais référencé sous le nom d’« Eleven11bot ». Composé principalement de > webcams et d'enregistreurs vidéo réseau (NVR) compromis, ce botnet a > rapidement dépassé les 30 000 appareils infectés. Sa taille est > exceptionnelle parmi les botnets observés qui ne sont pas associés à des > acteurs étatiques, le plaçant comme l’une des campagnes DDoS les plus > importantes observées depuis l'invasion de l'Ukraine en février 2022. > > Eleven11bot cible des secteurs divers, notamment les fournisseurs de services > de communication et les infrastructures d'hébergement de jeux vidéo, en > exploitant une variété de vecteurs d'attaques. L'intensité de ces attaques > varie considérablement, allant de quelques centaines de milliers à plusieurs > centaines de millions de paquets par seconde (pps). Des forums publics > rapportent des campagnes d’attaques prolongées provoquant une dégradation de > service durant plusieurs jours, certaines attaques étant toujours en cours. > > Les bots associés à ce botnet peuvent généralement être identifiés par des > bannières hexadécimales caractéristiques comprenant des chaînes telles que > head[...]1111 ou head[...]11111111, principalement observées sur le port TCP > 17000. > > Que s’est-il passé ? > > Depuis sa détection initiale le 26 février 2025, l’équipe d’intervention > d’urgence de Deepfield surveille étroitement les activités et l’évolution > d’Eleven11bot. Les analyses préliminaires montrent une présence significative > et géographiquement dispersée du botnet, couvrant divers pays tels que les > États-Unis, le Canada, Israël, l’Espagne, le Royaume-Uni, le Brésil, Taïwan, > la Roumanie et le Japon, entre autres. > > Un indicateur de compromission (IoC) unique, une bannière hexadécimale > spécifique contenant des motifs tels que head[...]1111 ou head[...]11111111, > permet une identification précise et une mise en place rapide de stratégies > de mitigation, intégrées directement dans la plateforme Deepfield Cloud > Genome. > > Qui est affecté ? > > Eleven11bot compromet principalement des équipements de type IoT, notamment > des webcams et des NVR. Grâce à sa capacité à cibler une grande variété de > services, ce botnet représente un risque considérable pour plusieurs > secteurs, particulièrement les infrastructures de communication et de jeux en > ligne. > > Quel est l’impact ? > > Dans des scénarios impliquant une activation maximale des bots, Eleven11bot > peut lancer des attaques DDoS volumétriques dépassant plusieurs centaines de > millions de paquets par seconde sur certains vecteurs. Toutefois, la majorité > des attaques observées impliquent moins d’appareils, généralement entre 3 000 > et 5 000 bots, constituant néanmoins une menace significative pour la > fiabilité des réseaux et la continuité des services. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
