- 21,857
- 46
- 8 Ноя 2022
Самая популярная зона по DNS-запросам теперь используется киберпреступниками.
Cloudflare столкнулась с неожиданным феноменом: в её публичном рейтинге самых популярных доменов внезапно на первые позиции вышли сайты, связанные с ботнетом Aisuru. На протяжении недели именно эти ресурсы обгоняли Amazon, Apple, Google и Microsoft. После этого Cloudflare начала скрывать имена вредоносных доменов из своего списка, а гендиректор компании признал, что злоумышленники из Aisuru используют ботнет не только для накрутки рейтингов, но и для атак на DNS-инфраструктуру Cloudflare.
Aisuru — быстрорастущий ботнет , состоящий из сотен тысяч взломанных устройств Интернета вещей: домашних роутеров, камер наблюдения и другой электроники с плохой защитой. С момента появления в 2024 году он заметно вырос и продемонстрировал способность проводить DDoS-атаки с мощностью до 30 терабит в секунду. Изначально заражённые устройства обращались к DNS-серверам Google (8.8.8.8), однако в октябре ботнет переключился на сервер Cloudflare (1.1.1.1). После этого домены, через которые Aisuru управляет заражёнными устройствами, начали массово появляться в рейтинге Cloudflare Radar.
Позиции №1 и №3 в списке принадлежат контроллерам ботнета Aisuru, их полные доменные имена удалены. (radar.cloudflare.com)
На фоне скриншотов, где вредоносные сайты занимали первое и третье место, в соцсетях распространились опасения, что ботнет полностью вышел из-под контроля. Один из доменов, долго державшийся на первой строчке, выглядел как чей-то домашний адрес в Массачусетсе с окончанием «.com», другие имитировали имена крупных облачных провайдеров.
Чтобы избежать путаницы и защитить пользователей, Cloudflare стала частично скрывать названия таких доменов и добавила предупреждение о возможном вредоносном происхождении сайтов. По словам главы компании Мэттью Принса, алгоритм рейтинга учитывает только объём DNS-запросов, а злоумышленники, перегружая систему, одновременно атакуют DNS-службу Cloudflare. Компания пообещала переработать систему подсчёта и временно скрывать все домены, классифицированные как вредоносные.
По оценке Infoblox, многие пользователи неверно истолковали эти рейтинги, решив, что заражённых устройств стало больше, чем обычных клиентов Cloudflare. На деле система не учитывает множество факторов — от кэширования до балансировки нагрузки, поэтому подобные искажения возможны.
Глава антифишинговой компании Epi Алекс Гринланд заявил , что в текущем виде рейтинг подрывает доверие к Cloudflare, ведь в нём изначально должны отображаться только популярные у людей домены, а не машинные потоки трафика. Он предложил разделить рейтинг на две части — для реальных пользователей и для необработанных данных DNS-запросов. Это важно, подчеркнул он, потому что списки Cloudflare применяются для оценки надёжности сайтов в браузерах, API безопасного просмотра и рейтингах вроде TRANCO . Попадание вредоносных доменов в топ-100 может вызвать цепную реакцию и ошибочные решения систем фильтрации.
За последнюю неделю Cloudflare постепенно удаляла из списка все следы Aisuru, и к настоящему моменту их почти не видно на сайте Radar. Однако выгрузка данных по-прежнему показывает один из доменов ботнета на первой строке. По статистике Cloudflare, более половины всех DNS-запросов к Aisuru-доменам приходят из США, что совпадает с более ранними данными: большая часть заражённых IoT-устройств расположена у провайдеров AT&T, Comcast и Verizon.
Исследователи отмечают, что ботнет управляется через сотни серверов, причём большинство из них зарегистрированы в доменной зоне .su, созданной ещё для бывшего СССР. По данным Cloudflare, именно .su сейчас имеет наибольший «DNS-вес» — показатель популярности зоны по количеству сетей, обращающихся к 1.1.1.1. Несмотря на то что часть трафика связана с игровыми сервисами вроде Minecraft, именно эта зона давно используется киберпреступниками.
Простейший способ заметить активность Aisuru в сети — отследить любые обращения к доменам, оканчивающимся на .su. Этот домен часто используется для вредоносных сервисов, и его блокировка редко вызывает проблемы у легитимных пользователей.
Cloudflare столкнулась с неожиданным феноменом: в её публичном рейтинге самых популярных доменов внезапно на первые позиции вышли сайты, связанные с ботнетом Aisuru. На протяжении недели именно эти ресурсы обгоняли Amazon, Apple, Google и Microsoft. После этого Cloudflare начала скрывать имена вредоносных доменов из своего списка, а гендиректор компании признал, что злоумышленники из Aisuru используют ботнет не только для накрутки рейтингов, но и для атак на DNS-инфраструктуру Cloudflare.
Aisuru — быстрорастущий ботнет , состоящий из сотен тысяч взломанных устройств Интернета вещей: домашних роутеров, камер наблюдения и другой электроники с плохой защитой. С момента появления в 2024 году он заметно вырос и продемонстрировал способность проводить DDoS-атаки с мощностью до 30 терабит в секунду. Изначально заражённые устройства обращались к DNS-серверам Google (8.8.8.8), однако в октябре ботнет переключился на сервер Cloudflare (1.1.1.1). После этого домены, через которые Aisuru управляет заражёнными устройствами, начали массово появляться в рейтинге Cloudflare Radar.
Позиции №1 и №3 в списке принадлежат контроллерам ботнета Aisuru, их полные доменные имена удалены. (radar.cloudflare.com)
На фоне скриншотов, где вредоносные сайты занимали первое и третье место, в соцсетях распространились опасения, что ботнет полностью вышел из-под контроля. Один из доменов, долго державшийся на первой строчке, выглядел как чей-то домашний адрес в Массачусетсе с окончанием «.com», другие имитировали имена крупных облачных провайдеров.
Чтобы избежать путаницы и защитить пользователей, Cloudflare стала частично скрывать названия таких доменов и добавила предупреждение о возможном вредоносном происхождении сайтов. По словам главы компании Мэттью Принса, алгоритм рейтинга учитывает только объём DNS-запросов, а злоумышленники, перегружая систему, одновременно атакуют DNS-службу Cloudflare. Компания пообещала переработать систему подсчёта и временно скрывать все домены, классифицированные как вредоносные.
По оценке Infoblox, многие пользователи неверно истолковали эти рейтинги, решив, что заражённых устройств стало больше, чем обычных клиентов Cloudflare. На деле система не учитывает множество факторов — от кэширования до балансировки нагрузки, поэтому подобные искажения возможны.
Глава антифишинговой компании Epi Алекс Гринланд заявил , что в текущем виде рейтинг подрывает доверие к Cloudflare, ведь в нём изначально должны отображаться только популярные у людей домены, а не машинные потоки трафика. Он предложил разделить рейтинг на две части — для реальных пользователей и для необработанных данных DNS-запросов. Это важно, подчеркнул он, потому что списки Cloudflare применяются для оценки надёжности сайтов в браузерах, API безопасного просмотра и рейтингах вроде TRANCO . Попадание вредоносных доменов в топ-100 может вызвать цепную реакцию и ошибочные решения систем фильтрации.
За последнюю неделю Cloudflare постепенно удаляла из списка все следы Aisuru, и к настоящему моменту их почти не видно на сайте Radar. Однако выгрузка данных по-прежнему показывает один из доменов ботнета на первой строке. По статистике Cloudflare, более половины всех DNS-запросов к Aisuru-доменам приходят из США, что совпадает с более ранними данными: большая часть заражённых IoT-устройств расположена у провайдеров AT&T, Comcast и Verizon.
Исследователи отмечают, что ботнет управляется через сотни серверов, причём большинство из них зарегистрированы в доменной зоне .su, созданной ещё для бывшего СССР. По данным Cloudflare, именно .su сейчас имеет наибольший «DNS-вес» — показатель популярности зоны по количеству сетей, обращающихся к 1.1.1.1. Несмотря на то что часть трафика связана с игровыми сервисами вроде Minecraft, именно эта зона давно используется киберпреступниками.
Простейший способ заметить активность Aisuru в сети — отследить любые обращения к доменам, оканчивающимся на .su. Этот домен часто используется для вредоносных сервисов, и его блокировка редко вызывает проблемы у легитимных пользователей.
- Источник новости
- www.securitylab.ru
