AISURU / Kimwolf botnetas
Paskirstytas paslaugų teikimo trikdymo (DDoS) botnetas, sekamas kaip AISURU/Kimwolf, buvo susietas su precedento neturinčia ataka, kurios piko metu buvo 31,4 terabito per sekundę (Tbps). Nepaisant itin didelio atakos intensyvumo, ji buvo trumpa – truko tik 35 sekundes. Incidentas įvyko 2025 m. lapkritį ir dabar yra didžiausia kada nors stebėta DDoS ataka.
Turinys
Hipervolumetrinių HTTP atakų augimas
Saugumo tyrėjai šį įvykį nustatė kaip platesnio masto hipervolumetrinio HTTP DDoS atakų aktyvumo padidėjimo, kurį 2025 m. ketvirtąjį ketvirtį sukėlė „AISURU“ / „Kimwolf“, dalį. Šios atakos atspindi augančią trumpalaikių, bet nepaprastai didelio našumo atakų tendenciją, skirtą perkrauti šiuolaikinę interneto infrastruktūrą, kol tradicinės gynybos priemonės nespės visiškai sureaguoti.
Kampanija „Naktis prieš Kalėdas“
„AISURU/Kimwolf“ taip pat buvo susijęs su vėlesne didelio masto operacija, vadinama „Naktis prieš Kalėdas“, kuri prasidėjo 2025 m. gruodžio 19 d. Šios kampanijos metu hipervolumetrinės atakos vidutiniškai siekė 3 milijardus paketų per sekundę (Bpps), 4 Tbps pralaidumo ir 54 milijonus užklausų per sekundę (MRPS). Didžiausias lygis siekė net 9 Bpps, 24 Tbps ir 205 MRPS, o tai pabrėžia botneto gebėjimą generuoti nuolatinius ir didelius srautus.
Sprogstamasis DDoS aktyvumo augimas 2025 m.
DDoS atakų aktyvumas 2025 m. smarkiai išaugo – per metus jis padidėjo 121 %. Vidutiniškai kas valandą automatiškai buvo sušvelninama 5 376 atakos. Bendras metinis atakų skaičius daugiau nei padvigubėjo ir pasiekė maždaug 47,1 mln. atakų. Didelę šio augimo dalį sudarė tinklo lygmens atakos – 2025 m. sušvelninta 34,4 mln. atakų, palyginti su 11,4 mln. 2024 m. Vien ketvirtąjį ketvirtį tinklo lygmens atakos sudarė 78 % visų DDoS incidentų, tai yra 31 % daugiau nei ankstesnis ketvirtis ir 58 % daugiau nei 2024 m.
Masto ir dažnio eskalacija
2025 m. paskutinį ketvirtį hipervolumetrinių atakų padaugėjo 40 %, palyginti su ankstesniu ketvirčiu – nuo 1 304 iki 1 824 incidentų. Anksčiau šiais metais, pirmąjį ketvirtį, buvo užregistruota tik 717 tokių atakų. Be dažnumo, gerokai išaugo ir atakų mastas – jų dydžiai išaugo daugiau nei 700 %, palyginti su didelio masto atakomis, pastebėtomis 2024 m. pabaigoje.
Botneto plėtimasis per pažeistus įrenginius
Manoma, kad „AISURU/Kimwolf“ kontroliuoja daugiau nei dviejų milijonų „Android“ įrenginių botnetą. Dauguma jų yra pažeisti, kitų gamintojų „Android“ televizoriai, slapta užregistruoti ir nukreipti per gyvenamųjų namų tarpinio serverio tinklus, tokius kaip IPIDEA. Šios tarpinio serverio paslaugos buvo panaudotos atakų kilmei užmaskuoti ir srautui sustiprinti.
Įgaliotinio serverio infrastruktūros sutrikimas ir teisiniai veiksmai
Reaguodami į šią veiklą, ekspertai neseniai sutrikdė IPIDEA gyvenamųjų namų tarpinio serverio tinklo veikimą ir ėmėsi teisinių priemonių, kad išmontuotų dešimtis domenų, naudojamų valdymo ir kontrolės operacijoms bei srauto tarpiniam serveriui valdyti. Šis pašalinimas taip pat sutrikdė IPIDEA domenų problemų sprendimo galimybes, smarkiai pablogindamas jos galimybes valdyti užkrėstus įrenginius ir komercializuoti tarpinio serverio paslaugas. Daugybė paskyrų ir domenų buvo sustabdyti, kai buvo nustatyta, kad jie palengvina kenkėjiškų programų platinimą ir neteisėtą prieigą prie gyvenamųjų namų tarpinio serverio tinklų.
Kenkėjiškų programų platinimas ir slaptas tarpinio serverio registravimas
Tyrimai rodo, kad IPIDEA registravo įrenginius per mažiausiai 600 Trojos arklio užkrėstų „Android“ programų, įterpusių tarpinio serverio programinės įrangos kūrimo rinkinius, taip pat daugiau nei 3000 Trojos arklio užkrėstų „Windows“ dvejetainių failų, užmaskuotų kaip „OneDrive“ sinchronizavimo įrankiai arba „Windows“ naujiniai. Be to, Pekine įsikūrusi operacija reklamavo VPN ir tarpinio serverio programas, kurios tyliai, be vartotojų žinios ar sutikimo, konvertavo vartotojų „Android“ įrenginius į tarpinio serverio išėjimo mazgus. Operatoriai taip pat buvo susieti su mažiausiai keliolika gyvenamųjų namų tarpinio serverio paslaugų, kurios pristatė save kaip teisėtus pasiūlymus, galiausiai teikdamos informaciją į centralizuotą IPIDEA kontroliuojamą infrastruktūrą.
Pagrindinės DDoS atakų tendencijos, pastebėtos 2025 m. IV ketvirtį
Tiksliniai sektoriai, paveikti regionai ir atakų kilmės vietos: Dažniausiai taikiniais tapo telekomunikacijų paslaugų teikėjai ir operatoriai, po jų sekė informacinių technologijų, lošimų, žaidimų ir kompiuterių programinės įrangos sektoriai. Dažniausiai atakuotos šalys buvo Kinija, Honkongas, Vokietija, Brazilija, Jungtinės Valstijos, Jungtinė Karalystė, Vietnamas, Azerbaidžanas, Indija ir Singapūras. Bangladešas tapo didžiausiu DDoS srauto šaltiniu, aplenkdamas Indoneziją, o kiti žymūs šaltiniai buvo Ekvadoras, Argentina, Honkongas, Ukraina, Taivanas, Singapūras ir Peru.
Gynybinių strategijų pasekmės
DDoS atakų sudėtingumas ir mastas sparčiai auga, gerokai viršydami anksčiau numatytas ribas. Ši besikeičianti grėsmių aplinka kelia rimtų iššūkių organizacijoms, bandančioms neatsilikti naudojant tradicines gynybos priemones. Įmonėms, kurios ir toliau daugiausia naudojasi vietoje įrengtais apsaugos įrenginiais arba pagal poreikį veikiančiais duomenų šalinimo centrais, gali tekti iš naujo įvertinti savo DDoS apsaugos strategijas, kad būtų galima spręsti hipervolumetrinių, trumpalaikių atakų realijas.
