Menu
IOT DDOS

Jeden botnet, desetitisíce zneužitých IoT zařízení. Jak se poučit z útoku Eleven11bot?

Kateřina Dobrá

Kateřina Dobrá
09. 01. 2026

Jeden botnet, desetitisíce zneužitých IoT zařízení. Jak se poučit z útoku Eleven11bot?

Eleven11bot proměnil tisíce běžných IoT zařízení v armádu útočníků. Pro firmy znamenají podobné botnety dvojí riziko: buď se jejich zařízení stanou součástí útoku, nebo se samy firmy stanou cílem. Jak se připravit, aby vaše organizace nebyla na jedné ani druhé straně barikády? 

Jeden botnet, desetitisíce zneužitých IoT zařízení. Jak se poučit z útoku Eleven11bot?

Jak fungují botnety? Útočníci pomocí malwaru přes zranitelnosti ovládnou tisíce zranitelných zařízení a promění je v síť „robotů“. Ti pak na povel spouštějí DDoS útoky.  

Eleven11bot poprvé zaznamenali výzkumníci z Nokia Deepfield v únoru 2025. Zaměřil se na zařízení s čipsety HiSilicon a softwarem TVT-NVMS 9000, které se používají v bezpečnostních kamerách nebo síťových videorekordérech. Tato zařízení v praxi fungují jako „white-label“ řešení, kdy jeden velký výrobce dodává hardware a software, které pak spousta jiných firem využívá pod vlastním logem. Kvůli tomu pronikají na trh statisíce totožných zařízení se stejnými slabinami. 

Kampaň vedená prostřednictvím Eleven11botu využila kombinace chyb v softwaru a slabé autentizace. Řada napadených zařízení měla buď výchozí, a tím pádem snadno odhadnutelná hesla, nebo dokonce tzv. hardcodované přihlašovací údaje, které není možné po zakoupení zařízení změnit.  

Dva terče Eleven11botu 

  • Majitelé zneužitých IoT zařízení – jejich kamery, rekordéry nebo senzory byly zneužity jako „zbraně“. Rizikem byla zvýšená zátěž nebo nefunkčnost zařízení. A také právní a reputační následky. 
  • Organizace zasažené DDoS útokem – šlo o telekomunikační firmy a herní platformy. Důsledkem byly masivní výpadky služeb, ztráta zákazníků, finanční škody nebo problém s regulátorem. 

Odborníci se neshodli na přesném počtu napadených zařízení. Nokia Deepfield nejdřív mluvila o třiceti tisících, portál Shadowserver krátce nato hlásil dokonce přes 86 tisíc. Později se ukázalo, že skutečně aktivních strojů bylo spíš méně (nejvíc jich bylo v USA, na Tchaj-wanu a ve Velké Británii). Ale i to k úspěšnému hyper-volumetrickému DDoS útoku stačilo. Když se totiž spojí tisíce kamer a rekordérů a všechny začnou najednou posílat data na stejný cíl, dokáže to ochromit firmy a jejich služby na několik dní.  

Útoky zasáhly zejména telekomunikační společnosti a herní infrastrukturu. Některé DDoS kampaně trvaly celé dny, generovaly stovky milionů paketů za sekundu a dokázaly vyřadit klíčové služby na několika kontinentech.  

Co je hyper-volumetrický DDoS útok?   

Místo toho, aby útočník přetížil výpočetní výkon serveru jako u běžného DDoS útoku, posílá obrovské množství dat (měřené často v gigabitech až terabitech za sekundu), takže linku nebo poskytovatele peeringu přetíží a legitimní provoz se ztratí.    

Botnety složené z tisíců kompromitovaných IoT zařízení (kamery, rekordéry, senzory) jsou pro takové útoky ideální. Každé „hloupé“ zařízení přispěje malým streamem nebo floodem, ale v součtu to vytvoří obrovskou digitální povodeň, která dokáže vyřadit telekomy nebo herní platformy.    

Zdroj: Akamai   

Ochrana před DDoS útoky

Slabiny, které firmy stále přehlížejí  

Eleven11bot odhalil chybu, kterou dělá většina organizací. Firmy sice dnes mají dobře zabezpečené servery a pracovní stanice, ale periferní IoT zařízení zůstávají bez důsledného dohledu.   

Tato zařízení se často nasazují rychle, někdy v tisících kusů najednou, s továrními přihlašovacími údaji. Když se k tomu přidá zastaralý firmware a chybějící síťová segmentace (kamery jsou ve stejné síti jako kritické systémy), vzniká ideální prostředí pro rychlé zneužití.  

Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Zobrazit

Chytrá zařízení bohužel bývají nastavená tak, aby je šlo ovládat na dálku přes internet. Výrobci to umožňují kvůli uživatelskému pohodlí – správce může kameru nebo rekordér nastavit odkudkoliv. Problém je, že tyto „vzdálené dveře“ často zůstávají otevřené i směrem k celému internetu. Útočníci pak jednoduše procházejí obrovské seznamy IP adres a zkoušejí, které zařízení zareaguje. Pokud objeví „otevřené dveře“ (typicky přes staré protokoly jako Telnet nebo SSH), mohou se pokusit přihlásit. A když narazí na slabé heslo nebo známou chybu, mají vyhráno.  

Přesně takto se Eleven11bot šířil: před samotnými útoky bezpečnostní firmy zaznamenaly rozsáhlé skenování i automatizované pokusy zjistit, která ze zařízení lze snadno ovládnout.

Jak se bránit proti zneužití svých zařízení 

  1. Proveďte inventarizaci IoT zařízení. Nejprve si vytvořte úplný seznam všech zařízení, která jsou připojená do vaší sítě – od kamer přes záznamníky, průmyslové senzory, tiskárny až po chytré zásuvky. 
  2. Změňte výchozí hesla na silná a unikátní. Výchozí hesla, která výrobce nastaví, jsou veřejně dostupná, a tedy snadno zneužitelná. U každého zařízení nastavte jedinečné, silné heslo (dlouhé minimálně 12 znaků, s písmeny, čísly a znaky). Začněte u zařízení s veřejným přístupem (například kamer) a použijte správce hesel pro bezpečnou správu.  
  3. Aktualizujte pravidelně firmware. Výrobci vydávají opravy, které záplatují známé chyby. Jejich instalací odstraníte často zneužívané zranitelnosti. Aktualizace je potřeba plánovat (nejlépe centrálně), protože manuální aktualizace po stovkách zařízení je nepraktická a hrozí, že vám nějaká slabina unikne.   
  4. Izolujte IoT od kritických systémů. IoT zařízení dejte na samostatnou „část“ sítě (VLAN), která bude fungovat odděleně od serverů, interních databází a pracovních stanic. Pokud někdo kameru kompromituje, útočník se nedostane rovnou na citlivé servery. Segmentace snižuje dopad útoků a dává vám čas reagovat.  
  5. Vypněte nepotřebné služby. Staré služby jako Telnet často běží otevřeně a umožňují snadné přihlášení – pokud je nepoužíváte, prostě je vypněte. Když je nějaká vzdálená správa nutná, používejte bezpečnější protokoly (SSH s klíči) a povolte přístup jen z konkrétních IP adres.  
  6. Nasaďte pokročilé detekční mechanismy. Monitoring sítě a upozornění na neobvyklý provoz odhalí, když zařízení začne šířit útok, třeba když kamera, která běžně posílá málo dat, najednou zaplaví síť. Vyplatí se také využívat seznamy známých škodlivých adres a mít aktivovanou DDoS ochranu přímo u svého poskytovatele internetu. Díky tomu se škodlivý provoz zastaví už na cestě k vám a vůbec se nedostane do vaší sítě.  

Jak se chránit proti DDoS útokům 

Eleven11bot pravděpodobně není zcela novým botnetem, spíše variantou známého Mirai. Ukazuje ale jasný trend: kyberzločinci se stále více zaměřují na levná, špatně zabezpečená IoT zařízení, protože jsou snadno dostupná a málokdo je hlídá. Firmy se proto nemohou spokojit jen se zabezpečením „klasického IT“. Obrana musí pokrývat celou infrastrukturu: od datového centra až po chytrou kameru u vchodu. 

Zároveň je nutné počítat s tím, že hyper-volumetrické útoky už nelze zastavit lokálně. Efektivní obrana proti DDoS zahrnuje: 

Cloudová DDoS ochrana

Tradiční firewall ani lokální appliance nedokážou zvládnout datové toky v řádech terabitů za sekundu. Proto je nutné využít služby velkých poskytovatelů, kteří mají globální infrastrukturu schopnou takové útoky absorbovat a odfiltrovat ještě předtím, než dorazí do firemní sítě. 

Přeneste firemní data do O2 Cloudu

Distribuovaná infrastruktura a anycast

Pokud je aplikace dostupná z více datacenter po světě, útok se rozloží a nezahltí všechny servery najednou. Anycast směrování navíc umožní nasměrovat škodlivý provoz na nejbližší body obrany, takže se minimalizuje dopad na uživatele. 

Filtrace na úrovni poskytovatele internetu (ISP)

Spolupráce s operátorem je klíčová. ISP dokážou zastavit útok už „na dálnici“, tedy dřív, než dorazí do firemní sítě. Filtrace a blacklisting na této úrovni výrazně zvyšují šanci, že kritické systémy zůstanou dostupné. 

Pokročilý monitoring a WAF

Monitoring provozu v reálném čase odhalí, že se zařízení nebo aplikace chová neobvykle. Například když služba, která běžně odbavuje tisíce požadavků, začne najednou čelit milionům dotazů za sekundu. Web Application Firewall (WAF) dokáže rozpoznat rozdíl mezi legitimním zákazníkem a robotem a zablokovat škodlivý provoz, aniž by utrpěla uživatelská zkušenost. 

Incident response plán

Každá organizace by měla mít předem připravený scénář pro případ velkého DDoS útoku. To znamená vědět, koho kontaktovat u poskytovatele, jak rychle aktivovat záložní mechanismy a jak komunikovat se zákazníky, aby firma neztratila důvěru. Dobře nacvičený plán dokáže zkrátit výpadek z hodin na desítky minut. 


Útoky budou silnější a častější. Firmy, které budou mít připravenou komplexní strategii zahrnující jak IoT, tak DDoS obranu, budou mít zásadní výhodu. 

Co si z článku odnést?   

  • Eleven11bot ukázal, že i kamery nebo rekordéry se dají zneužít k masivním útokům.  
  • Hyper-volumetrické DDoS útoky dokážou zaplavit síť terabitovými toky dat a ochromit telekomunikace či herní platformy na několik dní.  
  • Hlavními slabinami zneužitých IoT zařízení byla výchozí a hardcodovaná hesla, zastaralý firmware a nezabezpečené služby jako Telnet a SSH.  
  • Obrana začíná u základů: inventarizace zařízení, změna hesel, aktualizace, segmentace a vypnutí nepotřebných služeb.  
  • Klasický firewall už na podobné útoky nestačí. Je nutné počítat s cloudovou DDoS ochranou, monitoringem a strategickým řízením bezpečnosti IoT
Kateřina Dobrá Kateřina Dobrá
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte

Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte

Zobrazit článek
Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte
Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Zobrazit článek
Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Zobrazit článek
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?
Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Zobrazit článek
Phishing už nevypadá jako dřív. Jak se proti němu bránit?
7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?

7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?

Zobrazit článek
7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?
Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Zobrazit článek
Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Zobrazit článek
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Zobrazit článek
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Naše ocenění

Zlatý středník - Elektronický časopis, blog a newsletter
Elektronický časopis, blog a newsletter
Top rated
Zlatý středník - Podcast: Místo kyberčinu
Podcast: Místo kyberčinu
2. místo
Zlatý středník - Elektronický časopis a blog
Elektronický časopis a blog
2. místo
Zlatý středník - Telekomunikace a IT
Telekomunikace a IT
2. místo
Fenix - Content – Online Magazín Web
Content – Online Magazín Web
3. místo