> Chez moi, je vois pas mal de probing TCP SYN entrant vers le port 17000, ça > peut être lié à ça ?
C’est en effet tout à fait possible, même si je pense que l’essentiel du trafic provient désormais plutôt des fournisseurs de sécurité, qui cherchent à recenser les équipements potentiellement compromis. GreyNoise estime que cela est lié à cette vulnérabilité : https://ssd-disclosure.com/ssd-advisory-nvms9000-information-disclosure/ ShadowServer a observé du trafic exploitant cette faille depuis la fin décembre. À notre connaissance, toutefois, les attaques DDoS n’ont commencé que le 26 février. C’est d’ailleurs ce même botnet qui a contribué à la panne de X/Twitter hier : la grande majorité des adresses IP sources correspondent à celles observées la semaine dernière lors d’attaques contre d’autres cibles. Pour l’attaque sur X, il s’agissait d’un TCP PSH-ACK flood basique mais efficace, ciblant directement les serveurs d’origine du service. — Jérôme From: David Ponzone <david.ponz...@gmail.com> Date: Monday, 10 March 2025 at 20:09 To: Jerome Meyer (Nokia) <jerome.me...@nokia.com> Cc: frnog-t...@frnog.org <frnog-t...@frnog.org> Subject: Re: [FRnOG] [TECH] Eleven11bot: nouveau botnet DDoS de plus de 30 000 appareils CAUTION: This is an external email. Please be very careful when clicking links or opening attachments. See the URL nok.it/ext for additional information. Jérôme, Chez moi, je vois pas mal de probing TCP SYN entrant vers le port 17000, ça peut être lié à ça ? David > Le 1 mars 2025 à 00:06, Jerome Meyer Nokia via frnog <frnog@frnog.org> a > écrit : > > Bonsoir à toutes et à tous, > > Je souhaitais vous faire part de la découverte récente d'un nouveau botnet > DDoS que nous (= Nokia Deepfield) observons activement depuis 48 heures > environ sur plusieurs réseaux clients, notamment aux États-Unis, en Irak et > aux Pays-Bas. > > Ce botnet se distingue par un nombre exceptionnel d'appareils compromis (plus > de 30 000), une ampleur rarement observée hormis brièvement après l’invasion > de l’Ukraine, ainsi que par sa capacité d'attaque extrêmement forte. Nous > avons en effet relevé plusieurs incidents avec des pics atteignant 6 à 7 > Tbps. Toutefois, toutes les attaques n'atteignent pas cette intensité > maximale, particulièrement lorsque « seules » quelques milliers d’appareils > sont mobilisés contre certaines cibles. > > Cette découverte vient d'être corroborée il y a quelques heures par > Greynoise, entreprise spécialisée dans la surveillance du trafic malveillant > (scans et compromissions), qui fournit des indicateurs supplémentaires de > compromission disponibles ici : > https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.greynoise.io%2Fblog%2Fnew-ddos-botnet-discovered&data=05%7C02%7Cjerome.meyer%40nokia.com%7C7a68838010ae49d7824408dd6007246e%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638772305982332137%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=vu9RfYRPmICZQhqLhNt%2BGU7LFbZh%2B5a9oSGA78EF0ow%3D&reserved=0<https://www.greynoise.io/blog/new-ddos-botnet-discovered> > > Je reste à disposition pour toute question supplémentaire concernant les > impacts potentiels et les stratégies d'atténuation envisageables sur vos > réseaux (et partages d’information, bien évidemment). > > Vous trouverez également ci-dessous des informations que j'ai diffusées plus > tôt à destination de nos clients (traduites en français et épurées des > instructions spécifiques liées à notre solution). > > — Jérôme > > > Le 26 février 2025, l'équipe d'intervention d'urgence (ERT) de Deepfield a > identifié un nouveau botnet de déni de service distribué (DDoS) majeur, > désormais référencé sous le nom d’« Eleven11bot ». Composé principalement de > webcams et d'enregistreurs vidéo réseau (NVR) compromis, ce botnet a > rapidement dépassé les 30 000 appareils infectés. Sa taille est > exceptionnelle parmi les botnets observés qui ne sont pas associés à des > acteurs étatiques, le plaçant comme l’une des campagnes DDoS les plus > importantes observées depuis l'invasion de l'Ukraine en février 2022. > > Eleven11bot cible des secteurs divers, notamment les fournisseurs de services > de communication et les infrastructures d'hébergement de jeux vidéo, en > exploitant une variété de vecteurs d'attaques. L'intensité de ces attaques > varie considérablement, allant de quelques centaines de milliers à plusieurs > centaines de millions de paquets par seconde (pps). Des forums publics > rapportent des campagnes d’attaques prolongées provoquant une dégradation de > service durant plusieurs jours, certaines attaques étant toujours en cours. > > Les bots associés à ce botnet peuvent généralement être identifiés par des > bannières hexadécimales caractéristiques comprenant des chaînes telles que > head[...]1111 ou head[...]11111111, principalement observées sur le port TCP > 17000. > > Que s’est-il passé ? > > Depuis sa détection initiale le 26 février 2025, l’équipe d’intervention > d’urgence de Deepfield surveille étroitement les activités et l’évolution > d’Eleven11bot. Les analyses préliminaires montrent une présence significative > et géographiquement dispersée du botnet, couvrant divers pays tels que les > États-Unis, le Canada, Israël, l’Espagne, le Royaume-Uni, le Brésil, Taïwan, > la Roumanie et le Japon, entre autres. > > Un indicateur de compromission (IoC) unique, une bannière hexadécimale > spécifique contenant des motifs tels que head[...]1111 ou head[...]11111111, > permet une identification précise et une mise en place rapide de stratégies > de mitigation, intégrées directement dans la plateforme Deepfield Cloud > Genome. > > Qui est affecté ? > > Eleven11bot compromet principalement des équipements de type IoT, notamment > des webcams et des NVR. Grâce à sa capacité à cibler une grande variété de > services, ce botnet représente un risque considérable pour plusieurs > secteurs, particulièrement les infrastructures de communication et de jeux en > ligne. > > Quel est l’impact ? > > Dans des scénarios impliquant une activation maximale des bots, Eleven11bot > peut lancer des attaques DDoS volumétriques dépassant plusieurs centaines de > millions de paquets par seconde sur certains vecteurs. Toutefois, la majorité > des attaques observées impliquent moins d’appareils, généralement entre 3 000 > et 5 000 bots, constituant néanmoins une menace significative pour la > fiabilité des réseaux et la continuité des services. > > --------------------------- > Liste de diffusion du FRnOG > https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C02%7Cjerome.meyer%40nokia.com%7C7a68838010ae49d7824408dd6007246e%7C5d4717519675428d917b70f44f9630b0%7C0%7C0%7C638772305982353874%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=p6EW5LVykeU%2F1J7Sk4b%2FKAQBOKURf5uk4jOUoq93XFM%3D&reserved=0<http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
