Microsoft останавливает самую масштабную DDoS-атаку в истории облака

Разработчик операционной системы Windows сообщил в понедельник, что атака типа «отказ в обслуживании» (DDoS), обнаруженная в облаке Microsoft 24 октября, была прекращена.

По данным блога Microsoft, атака DDoS была нацелена на одну конечную точку в Австралии и достигла скорости 15,72 терабит в секунду (Тбит/с) и почти 3,64 миллиарда пакетов в секунду (pps).

Атака была tracдо ботнета Интернета вещей (IoT) класса TurboMirai, известного как AISURU, который, как обнаружила фирма безопасности Krebson, в течение почти года скомпрометировал американских интернет-провайдеров AT&T, Verizon и Comcast. 

Microsoft не раскрыла личностьdent, но подтвердила, что ее автоматизированные средства защиты нейтрализовали атаку до того, как произошел какой-либо существенный сбой.

AISURU могла бы провести рекордные атаки

Согласно анализу, опубликованному Microsoft, атака была основана на чрезвычайно высокой скорости UDP-флуда на конкретный публичный IP-адрес. «Атака включала чрезвычайно высокую скорость UDP-флуда, направленного на конкретный публичный IP-адрес, с более чем 500 000 исходных IP-адресов из разных регионов», — пояснил старший менеджер по маркетингу продуктов Azure Security Шон Уэйлен.

Аналитики Azure написали использовались минимальная подмена источника и рандомизированные порты источника tracвызовов и обеспечения возможности интернет-провайдерам эффективно применять меры по смягчению последствий

AISURU использует взломанные домашние маршрутизаторы, камеры и системы видеонаблюденияdentинтернет-провайдеров в США и других странах. По оценкам QiAnXin XLab, ботнет управляет почти 300 000 зараженных устройств. 

«Владельцы Aisuru постоянно сканируют Интернет на предмет этих уязвимых устройств и используют их для проведения распределенных атак типа «отказ в обслуживании» (DDoS), которые могут перегрузить целевые серверы огромным количеством нежелательного трафика», — отмечают исследователи KrebsOnSecurity.

Американская компания AIOPs и технологическая компания Netscout также обнаружили, что AISURU работает с ограниченной клиентурой, чтобы избежать внимания государственных, военных и правоохранительных органов. Большинство наблюдаемых атак связано с игровыми онлайн-платформами, где большой объём трафика может привести к сопутствующим сбоям в работе других сетей.

«Исходящие и межсетевые DDoS-атаки могут быть столь же разрушительными, как и входящие. Сейчас мы находимся в ситуации, когда интернет-провайдеры регулярно сталкиваются с исходящими атаками на скорости свыше терабит в секунду, которые могут вызывать сбои в работе», — предположил инженер Netscout Роланд Доббинс.

Представитель Azure Уэйлен также упомянул, что ботнет способствуетdentданных, веб-скрейпингу с использованием ИИ, рассылке спама, фишингуи использует резидентныйdent-сервис, а скорость атак превышает 20 Тбит/с.

Ботнет AISURU нанесет ущерб в 2025 году

В мае блог о кибербезопасности KrebsOnSecurity сообщил о почти рекордной атаке мощностью 6,35 Тбит/с, которая была отражена программой Google Project Shield. В течение следующих месяцев AISURU побила рекорд, совершив атаку мощностью 11 Тбит/с, а к концу сентября мощность атак превысила 22 Тбит/с. 

По данным отчета от 6 октября , подготовленного журналистом по безопасности Брайаном Кребсом,  ботнет отправлял 29,6 Тбит/с нежелательных данных на выделенный сервер, измеряя экстремальный трафик DDoS.

Стивен Фергюсон, главный инженер по безопасности компании Global Secure Layer (GSL) в Брисбене, сообщил, что TCPShield, сервис защиты от DDoS-атак, поддерживающий более 50 000 серверов Minecraft, 8 октября подвергся атаке с более чем 15 Тбит/с нежелательных данных. 

«Это вызывало серьезную перегрузку внешних портов Майами в течение нескольких недель, о чем публично сообщалось на их метеорологической карте», — сказал Фергюсон.

Атака вызвала значительную перегрузку портов майамского провайдера OVH, в результате чего компании пришлось прекратить обслуживание TCPShield. Однако он сообщил, что теперь сеть полностью защищена службами безопасности GSL, на которые у небольших интернет-провайдеров может не хватить бюджета.

Хотя DDoS-атаки в основном нацелены на игровые онлайн-сети, объём вредоносного трафика негативно сказывается на не связанных с ними сервисах и подключении к интернету в близлежащих районах. Большинство организаций не располагают ресурсами для противостояния таким атакам, поскольку у них отсутствуют специализированные инструменты, способные защитить их от воздействия и ущерба.

Раскрытие информации Microsoft последовало за сообщением Netscout об Eleven11, также известном как RapperBot, ещё одном ботнете IoT класса TurboMirai. По оценкам, с конца февраля по август Eleven11 осуществил около 3600 DDoS-атак.

Некоторые командно-контрольные серверы (C2) Eleven11 были зарегистрированы в домене верхнего уровня (TLD) «.libre», входящем в OpenNIC, альтернативный корневой DNS,dent от ICANN. Анализ вредоносного ПО также показал, что ботнет использовал общие домены верхнего уровня ICANN (.live и .info), при этом IP-адреса C2-серверов были зашифрованы в записях. 

Netscout привел примеры 2024 года, показывающие, что исходный код Eleven11 созрел для динамической перенастройки инфраструктуры C2 с использованием доменных имен, а не жестко запрограммированных IP-адресов.