Microsoft stoppt den größten DDoS-Angriff, der jemals in der Cloud beobachtet wurde.

Der Denial-of-Service-Angriff (DDoS), der am 24. Oktober auf die Cloud von Microsoft festgestellt wurde, ist beendet, teilte der Entwickler des Windows-Betriebssystems am Montag mit.

Laut Microsofts Blog zielte der DDoS-Angriff auf einen einzelnen Endpunkt in Australien ab und erreichte 15,72 Terabit pro Sekunde (Tbps) und fast 3,64 Milliarden Pakete pro Sekunde (pps).

Der Angriff konnte auf ein TurboMirai-ähnliches IoT-Botnetz namens AISURU tracwerden, das laut dem Sicherheitsunternehmen Krebson die US-amerikanischen Internetdienstanbieter AT&T, Verizon und Comcast seit fast einem Jahr kompromittiert hatte. 

Microsoft gab diedentdes Ziels nicht preis, bestätigte aber, dass seine automatisierten Abwehrmechanismen den Angriff neutralisiert haben, bevor es zu nennenswerten Störungen kam.

AISURU hätte rekordverdächtige Angriffe durchführen können

Laut einer von Microsoft veröffentlichten Analyse basierte der Angriff auf extremen UDP-Floods mit hoher Datenrate auf eine bestimmte öffentliche IP-Adresse. „Der Angriff umfasste extremen UDP-Floods mit hoher Datenrate, die auf eine bestimmte öffentliche IP-Adresse abzielten und von über 500.000 Quell-IP-Adressen in verschiedenen Regionen ausgingen“, erklärte Sean Whalen, Senior Product Marketing Manager für Azure Security.

Die Analysten von Azure schrieben , dass minimales Source-Spoofing und randomisierte Quellports verwendet wurden, um die Rückverfolgung zu vereinfachen traces den ISPs zu ermöglichen, Gegenmaßnahmen effektiv durchzusetzen.

AISURU nutzt kompromittierte Heimrouter, Kameras und DVR-Systeme vondentInternetanbietern in den USA und anderen Ländern aus. QiAnXin XLab schätzt, dass das Botnetz fast 300.000 infizierte Geräte kontrolliert. 

„Die Besitzer von Aisuru scannen permanent das Internet nach diesen anfälligen Geräten und versklaven sie für den Einsatz bei verteilten Denial-of-Service-Angriffen (DDoS), die die anvisierten Server mit lähmenden Mengen an Datenmüll überlasten können“, stellten die Forscher von KrebsOnSecurity fest.

Das amerikanische AIOps- und Technologieunternehmen Netscout stellte außerdem fest, dass AISURU mit einem eingeschränkten Kundenkreis operierte, um Regierungsbehörden, Militär und Strafverfolgungsbehörden zu entgehen. Die meisten der beobachteten Angriffe stehen im Zusammenhang mit Online-Gaming-Plattformen, wo der hohe Datenverkehr zu Störungen in anderen Netzwerken führen kann.

„Ausgehende und netzwerkübergreifende DDoS-Angriffe können genauso störend sein wie eingehende. Wir befinden uns mittlerweile in einer Situation, in der Internetanbieter regelmäßig ausgehende Angriffe im Terabit-pro-Sekunde-Bereich und mehr aus ihren Netzwerken verzeichnen, die zu Betriebsstörungen führen können“, resümierte Netscout-Ingenieur Roland Dobbins.

Whalen von Azure erwähnte außerdem, dass das Botnetz Credentialdent, KI-gesteuertes Web Scraping, Spamming und Phishingund einen Resident-Proxy-Dienst betreibtdentwobei die Angriffe 20 Tbps überschreiten.

AISURU-Botnet-Schäden im Jahr 2025 bisher

Im Mai berichtete der Cybersicherheitsblog KrebsOnSecurity von einem Angriff mit einer fast rekordverdächtigen Datenrate von 6,35 Terabit pro Sekunde (Tbps), der von Googles Project Shield abgewehrt wurde. AISURU übertraf diesen Rekord innerhalb der nächsten Monate mit einem Angriff von 11 Tbps, und bis Ende September erreichten die Angriffe über 22 Tbps. 

Laut einem Bericht des Sicherheitsjournalisten Brian Krebs vom 6. Oktober sendete das Botnetz 29,6 Tbps an Junk-Daten an einen dedizierten Server, der extremen DDoS-Verkehr misst. 

Steven Ferguson, leitender Sicherheitsingenieur bei Global Secure Layer (GSL) in Brisbane, sagte, dass TCPShield, ein DDoS-Schutzdienst, der über 50.000 Minecraft-Server unterstützt, am 8. Oktober mit mehr als 15 Tbps an Junk-Daten angegriffen wurde. 

„Dies führte mehrere Wochen lang zu erheblichen Staus in ihren Außenhäfen in Miami, wie auf ihrer Wetterkarte öffentlich ersichtlich war“, sagte Ferguson.

Der Angriff verursachte erhebliche Engpässe an den Ports des Upstream-Providers OVH in Miami, sodass dem Unternehmen keine andere Wahl blieb, als den Dienst für TCPShield zu kündigen. Er gab jedoch bekannt, dass das Netzwerk nun vollständig durch die Sicherheitsdienste von GSL geschützt sei – ein Abonnement, das sich kleinere ISPs möglicherweise nicht leisten können.

Obwohl DDoS-Angriffe hauptsächlich Online-Gaming-Netzwerke ins Visier nehmen, beeinträchtigt das Ausmaß des schädlichen Datenverkehrs auch andere Dienste und die Konnektivität in der Umgebung. Die meisten Organisationen verfügen nicht über die Ressourcen, um solchen Angriffen standzuhalten, da ihnen spezielle Abwehrmaßnahmen fehlen, die sie vor den Folgen schützen könnten.

Microsofts Veröffentlichung folgt unmittelbar auf Netscouts Bericht über Eleven11, auch bekannt als RapperBot, ein weiteres IoT-Botnetz der TurboMirai-Klasse. Schätzungen zufolge hat Eleven11 zwischen Ende Februar und August rund 3.600 DDoS-Angriffe durchgeführt.

Einige der Command-and-Control-Server (C2-Server) von Eleven11 waren unter der Top-Level-Domain „.libre“ registriert, die zu OpenNIC gehört, einem alternativen, von ICANN unabhängigen DNS-dent . Die Malware-Analyse ergab außerdem, dass das Botnetz generische Top-Level-Domains von ICANN (.live und .info) nutzte, wobei die IP-Adressen der C2-Server in den entsprechenden Einträgen verschlüsselt waren. 

Netscout zitierte Beispiele aus dem Jahr 2024, die zeigten, dass der Quellcode von Eleven11 so weit entwickelt war, dass die C2-Infrastruktur dynamisch über Domänennamen anstatt über fest codierte IP-Adressen neu konfiguriert werden konnte.