Microsoft stoppe la plus grande attaque DDoS jamais observée dans le cloud

L'attaque par déni de service (DDoS) détectée sur le cloud de Microsoft le 24 octobre a été neutralisée, a déclaré lundi le développeur du système d'exploitation Windows.

Selon le blog de Microsoft, l'attaque DDoS a ciblé un seul point d'accès en Australie et a atteint 15,72 térabits par seconde (Tbps) et près de 3,64 milliards de paquets par seconde (pps).

L'attaque a été tracjusqu'à un botnet de type TurboMirai de l'Internet des objets (IoT) connu sous le nom d'AISURU, dont la société de sécurité Krebson a découvert qu'il avait compromis les fournisseurs d'accès Internet américains AT&T, Verizon et Comcast pendant près d'un an. 

Microsoft n'a pas révélé l'dentde la cible, mais a confirmé que ses défenses automatisées avaient neutralisé l'attaque avant qu'une perturbation significative ne survienne.

AISURU aurait pu mener des attaques record

D'après l'analyse publiée par Microsoft, l'attaque reposait sur des inondations UDP à très haut débit ciblant une adresse IP publique spécifique. « L'attaque a impliqué des inondations UDP à très haut débit ciblant une adresse IP publique spécifique, lancées depuis plus de 500 000 adresses IP sources réparties dans différentes régions », a expliqué Sean Whalen, responsable marketing produit senior chez Azure Security.

Les analystes d'Azure ont écrit que l'usurpation minimale de la source et l'aléatorisation des ports sources étaient utilisées pour simplifier tracet permettre aux FAI d'appliquer efficacement des mesures d'atténuation.

AISURU exploite les failles de sécurité des routeurs, caméras et systèmes DVR domestiques chez les fournisseurs d'accès Internetdentaux États-Unis et dans d'autres pays. QiAnXin XLab estime que ce botnet contrôle près de 300 000 appareils infectés. 

« Les propriétaires d'Aisuru scrutent en permanence Internet à la recherche de ces appareils vulnérables et les utilisent comme moyen de pression pour mener des attaques par déni de service distribué (DDoS) capables de submerger les serveurs ciblés sous un flot paralysant de trafic indésirable », ont noté les chercheurs de KrebsOnSecurity.

Netscout, une société américaine spécialisée dans les opérations d'IA et les technologies, a également constaté qu'AISURU opérait avec une clientèle restreinte afin d'éviter les gouvernements, les forces armées et les forces de l'ordre. La majorité des attaques observées sont liées à des plateformes de jeux en ligne, où le trafic important peut perturber d'autres réseaux.

« Les attaques DDoS sortantes et croisées peuvent être tout aussi perturbatrices que les attaques entrantes. Nous sommes désormais dans une situation où les fournisseurs d'accès Internet subissent régulièrement des attaques sortantes de plus d'un térabit par seconde depuis leurs réseaux, susceptibles d'entraîner des problèmes opérationnels », a conclu Roland Dobbins, ingénieur chez Netscout.

Whalen d'Azure a également mentionné que le botnet facilite ledent, le web scraping piloté par l'IA, le spamming, le phishinget exploite undent, avec des attaques dépassant 20 Tbps.

Dommages causés par le botnet AISURU en 2025 jusqu'à présent

En mai, le blog spécialisé en cybersécurité KrebsOnSecurity a signalé une attaque quasi record de 6,35 Tbps, contrée par le projet Shield de Google. AISURU a ensuite battu ce record avec une attaque de 11 Tbps dans les mois suivants, et fin septembre, les attaques atteignaient plus de 22 Tbps. 

Le botnet a envoyé 29,6 Tbps de données inutiles à un serveur dédié mesurant le trafic DDoS extrême, selon un rapport du journaliste de sécurité Brian Krebs daté du 6 octobre. 

Steven Ferguson, ingénieur principal en sécurité chez Global Secure Layer (GSL) à Brisbane, a déclaré que TCPShield, un service de protection DDoS prenant en charge plus de 50 000 serveurs Minecraft, a été touché par plus de 15 Tbps de données indésirables le 8 octobre. 

« Cela a provoqué de graves embouteillages sur leurs ports extérieurs de Miami pendant plusieurs semaines, comme le montrait publiquement leur carte météorologique », a déclaré Ferguson.

L'attaque a provoqué une forte congestion sur les ports de Miami du fournisseur d'accès Internet OVH, contraignant l'entreprise à interrompre son service pour TCPShield. Cependant, il a révélé que le réseau est désormais entièrement protégé par les services de sécurité de GSL, un abonnement que les petits fournisseurs d'accès Internet n'ont peut-être pas les moyens de se payer.

Bien que les attaques DDoS ciblent principalement les réseaux de jeux en ligne, le volume de trafic malveillant affecte également des services et la connectivité non liés à ces attaques dans la zone environnante. La plupart des organisations ne disposent pas des ressources nécessaires pour résister à de telles attaques, faute d'outils de protection spécialisés capables de les prémunir contre les risques et les dommages.

Cette révélation de Microsoft fait suite à l'article de Netscout sur Eleven11, également connu sous le nom de RapperBot, un autre botnet IoT de type TurboMirai. Entre fin février et août, Eleven11 aurait lancé environ 3 600 attaques DDoS.

Certains serveurs de commande et de contrôle (C2) d'Eleven11 étaient enregistrés sous le domaine de premier niveau « .libre », appartenant à OpenNIC, un système de noms de domaine racine alternatif etdent de l'ICANN. L'analyse du logiciel malveillant a également révélé que le botnet utilisait les domaines de premier niveau génériques de l'ICANN (« .live » et « .info »), les adresses IP des serveurs C2 étant chiffrées dans les enregistrements. 

Netscout a cité des exemples datant de 2024 montrant que le code source d'Eleven11 avait évolué pour reconfigurer dynamiquement l'infrastructure C2 en utilisant des noms de domaine plutôt que des adresses IP codées en dur.