- 21,238
- 46
- 8 Ноя 2022
Как долго ботнет Aisuru будет наращивать мощность и когда он обрушит интернет-гигантов?
Всемирно известный ботнет Aisuru продолжает наращивать разрушительную силу: теперь он использует более 300 000 заражённых IoT-устройств, большая часть которых размещена у крупнейших американских провайдеров вроде AT&T, Comcast, T-Mobile и Verizon.
По оценкам специалистов, высокая концентрация узлов ботнета в сетях этих компаний не только осложняет отражение атак, но и влияет на качество соединения у обычных клиентов. Последняя демонстрация мощи Aisuru состоялась 6 октября — короткий всплеск мусорного трафика достиг 29,6 Тбит/с, побив все предыдущие рекорды.
Aisuru, появившийся более года назад, уже вытеснил почти все остальные IoT-ботнеты , и его владельцы продолжают захватывать устройства вроде домашних маршрутизаторов, камер видеонаблюдения и видеорегистраторов. Для этого достаточно уязвимостей в прошивках или заводских настроек безопасности.
В мае 2025 года Aisuru атаковал блог KrebsOnSecurity на скорости 6,35 Тбит/с, что стало крупнейшей нагрузкой, зафиксированной системой Google Project Shield. Спустя несколько дней ботнет превысил 11 Тбит/с, затем в сентябре — 22 Тбит/с. Пиковая DDoS-атака 6 октября продолжалась всего несколько секунд и, скорее всего, была тестовой: её мишенью стал сервер, предназначенный для измерения таких всплесков.
Несмотря на кратковременность отдельных инцидентов, последствия от активности Aisuru чувствуют тысячи геймеров. По словам Стивена Фергюсона, инженера из австралийского провайдера GSL, защищающего более 50 тысяч Minecraft-серверов, 8 октября Aisuru обрушил на них более 15 Тбит/с. Это вызвало столь серьёзную перегрузку на внешних портах OVH в Майами, что партнёр отказался от дальнейшего сотрудничества. С этого момента единственной защитой для TCPShield остался GSL.
Анализ uptimer-сервисов вроде BlockGameTracker.gg показывает, что 28 сентября множество хостеров Minecraft, включая Cosmic, пострадали от массовых сбоев, вызванных атаками Aisuru.
Фергюсон также заметил, что ботнет всё чаще использует устройства, подключённые через американских провайдеров. В логах атаки от 8 октября 11 из 20 крупнейших источников трафика принадлежали сетям США, среди которых лидировали AT&T, затем шли Charter, Comcast, T-Mobile и Verizon. Один только Comcast передал свыше 500 Гбит/с трафика ботнета, что вызвало заметные проблемы в смежных сервисах.
В Netscout отметили, что современные решения защиты от DDoS ориентированы в первую очередь на входящий трафик, но теперь провайдерам придётся научиться бороться и с исходящими потоками, генерируемыми заражёнными клиентскими устройствами.
Charter Communications подчеркнула, что ведёт постоянный мониторинг атак как на входе, так и на выходе, и рекомендует клиентам использовать безопасные устройства, антивирус и своевременно обновлять прошивки. Представитель Comcast заявил, что компания справляется с нагрузкой и не наблюдает сбоев.
Aisuru, как и его предшественник Mirai , базируется на одноимённом вредоносном коде, утёкшем в 2016 году. В своё время Mirai также атаковал Minecraft-сервера, чтобы продавать владельцам DDoS-защиту, а затем сдавал мощности в аренду — например, для маскировки кликфрода. Aisuru использует те же методы: по данным Netscout, операторы ботнета продают его не только как DDoS-инструмент, но и как прокси-сеть — позволяя маскировать вредоносную активность под обычный трафик от домашних пользователей.
Особый интерес вызывает псевдоним одного из администраторов Aisuru — "9gigsofram", ранее связанный с защитной платформой Proxypipe, которая была целью Mirai в 2016 году. Тогда эту службу развивали Роберт Коэльо и Эрик "9gigsofram" Бакингем, ныне также работающие в области DDoS-обороны.
Коэльо утверждает, что не знает, зачем нынешние операторы использовали старый никнейм, но отмечает, что атаки последних дней были «чудовищными» и повторялись несколько раз в сутки по всему миру. По его словам, чтобы эффективно отражать такие атаки, сегодня требуется тратить не менее миллиона долларов в месяц только на ёмкость сетевой инфраструктуры.
Быстрое разрастание Aisuru связано и с использованием уязвимостей нулевого дня. В сентябре китайская компания XLab, первой описавшая ботнет в 2024 году, заявила, что злоумышленники взломали сайт распространения прошивок Totolink и внедрили туда вредоносный скрипт. Это позволило автоматически заражать устройства через поддельные обновления. Число заражённых узлов на тот момент достигало 300 000.
Дополнительный импульс Aisuru получил в августе 2025 года, когда Министерство юстиции США арестовало оператора конкурирующего ботнета Rapper Bot. После ликвидации инфраструктуры конкурента, Aisuru быстро занял освободившееся пространство и получил доступ ко множеству ранее захваченных IoT-устройств.
Как и у Mirai, у Aisuru есть свои «герои». Согласно отчёту XLab, ботнет управляется тремя фигурами: «Snow», отвечающим за разработку; «Tom», ищущим новые уязвимости; и «Forky», занимающимся коммерцией. Сервис Botshield, связанный с Forky, также предлагает защиту от DDoS, а сам он не раз общался с KrebsOnSecurity, утверждая, что участвует только в разработке и продаже платформы, но не в атаках. Тем не менее, он отказывается назвать других операторов и прерывает разговоры, когда дело доходит до ответственности. На фоне стремительного роста ботнета, это только усиливает подозрения в его реальной причастности к новой волне разрушительных атак.
Всемирно известный ботнет Aisuru продолжает наращивать разрушительную силу: теперь он использует более 300 000 заражённых IoT-устройств, большая часть которых размещена у крупнейших американских провайдеров вроде AT&T, Comcast, T-Mobile и Verizon.
По оценкам специалистов, высокая концентрация узлов ботнета в сетях этих компаний не только осложняет отражение атак, но и влияет на качество соединения у обычных клиентов. Последняя демонстрация мощи Aisuru состоялась 6 октября — короткий всплеск мусорного трафика достиг 29,6 Тбит/с, побив все предыдущие рекорды.
Aisuru, появившийся более года назад, уже вытеснил почти все остальные IoT-ботнеты , и его владельцы продолжают захватывать устройства вроде домашних маршрутизаторов, камер видеонаблюдения и видеорегистраторов. Для этого достаточно уязвимостей в прошивках или заводских настроек безопасности.
В мае 2025 года Aisuru атаковал блог KrebsOnSecurity на скорости 6,35 Тбит/с, что стало крупнейшей нагрузкой, зафиксированной системой Google Project Shield. Спустя несколько дней ботнет превысил 11 Тбит/с, затем в сентябре — 22 Тбит/с. Пиковая DDoS-атака 6 октября продолжалась всего несколько секунд и, скорее всего, была тестовой: её мишенью стал сервер, предназначенный для измерения таких всплесков.
Несмотря на кратковременность отдельных инцидентов, последствия от активности Aisuru чувствуют тысячи геймеров. По словам Стивена Фергюсона, инженера из австралийского провайдера GSL, защищающего более 50 тысяч Minecraft-серверов, 8 октября Aisuru обрушил на них более 15 Тбит/с. Это вызвало столь серьёзную перегрузку на внешних портах OVH в Майами, что партнёр отказался от дальнейшего сотрудничества. С этого момента единственной защитой для TCPShield остался GSL.
Анализ uptimer-сервисов вроде BlockGameTracker.gg показывает, что 28 сентября множество хостеров Minecraft, включая Cosmic, пострадали от массовых сбоев, вызванных атаками Aisuru.
Фергюсон также заметил, что ботнет всё чаще использует устройства, подключённые через американских провайдеров. В логах атаки от 8 октября 11 из 20 крупнейших источников трафика принадлежали сетям США, среди которых лидировали AT&T, затем шли Charter, Comcast, T-Mobile и Verizon. Один только Comcast передал свыше 500 Гбит/с трафика ботнета, что вызвало заметные проблемы в смежных сервисах.
В Netscout отметили, что современные решения защиты от DDoS ориентированы в первую очередь на входящий трафик, но теперь провайдерам придётся научиться бороться и с исходящими потоками, генерируемыми заражёнными клиентскими устройствами.
Charter Communications подчеркнула, что ведёт постоянный мониторинг атак как на входе, так и на выходе, и рекомендует клиентам использовать безопасные устройства, антивирус и своевременно обновлять прошивки. Представитель Comcast заявил, что компания справляется с нагрузкой и не наблюдает сбоев.
Aisuru, как и его предшественник Mirai , базируется на одноимённом вредоносном коде, утёкшем в 2016 году. В своё время Mirai также атаковал Minecraft-сервера, чтобы продавать владельцам DDoS-защиту, а затем сдавал мощности в аренду — например, для маскировки кликфрода. Aisuru использует те же методы: по данным Netscout, операторы ботнета продают его не только как DDoS-инструмент, но и как прокси-сеть — позволяя маскировать вредоносную активность под обычный трафик от домашних пользователей.
Особый интерес вызывает псевдоним одного из администраторов Aisuru — "9gigsofram", ранее связанный с защитной платформой Proxypipe, которая была целью Mirai в 2016 году. Тогда эту службу развивали Роберт Коэльо и Эрик "9gigsofram" Бакингем, ныне также работающие в области DDoS-обороны.
Коэльо утверждает, что не знает, зачем нынешние операторы использовали старый никнейм, но отмечает, что атаки последних дней были «чудовищными» и повторялись несколько раз в сутки по всему миру. По его словам, чтобы эффективно отражать такие атаки, сегодня требуется тратить не менее миллиона долларов в месяц только на ёмкость сетевой инфраструктуры.
Быстрое разрастание Aisuru связано и с использованием уязвимостей нулевого дня. В сентябре китайская компания XLab, первой описавшая ботнет в 2024 году, заявила, что злоумышленники взломали сайт распространения прошивок Totolink и внедрили туда вредоносный скрипт. Это позволило автоматически заражать устройства через поддельные обновления. Число заражённых узлов на тот момент достигало 300 000.
Дополнительный импульс Aisuru получил в августе 2025 года, когда Министерство юстиции США арестовало оператора конкурирующего ботнета Rapper Bot. После ликвидации инфраструктуры конкурента, Aisuru быстро занял освободившееся пространство и получил доступ ко множеству ранее захваченных IoT-устройств.
Как и у Mirai, у Aisuru есть свои «герои». Согласно отчёту XLab, ботнет управляется тремя фигурами: «Snow», отвечающим за разработку; «Tom», ищущим новые уязвимости; и «Forky», занимающимся коммерцией. Сервис Botshield, связанный с Forky, также предлагает защиту от DDoS, а сам он не раз общался с KrebsOnSecurity, утверждая, что участвует только в разработке и продаже платформы, но не в атаках. Тем не менее, он отказывается назвать других операторов и прерывает разговоры, когда дело доходит до ответственности. На фоне стремительного роста ботнета, это только усиливает подозрения в его реальной причастности к новой волне разрушительных атак.
- Источник новости
- www.securitylab.ru
