AISURU/Kimwolf robottīkls
Izplatītais pakalpojuma atteikuma (DDoS) botnets, kas tiek izsekots kā AISURU/Kimwolf, ir saistīts ar vēl nebijušu uzbrukumu, kura maksimums bija 31,4 terabiti sekundē (Tbps). Neskatoties uz ārkārtīgo intensitāti, uzbrukums bija īslaicīgs, ilga tikai 35 sekundes. Incidents notika 2025. gada novembrī un tagad ir lielākais jebkad novērotais DDoS uzbrukums.
Satura rādītājs
Hipervolumetrisko HTTP uzbrukumu pieaugums
Drošības pētnieki ir identificējuši šo notikumu kā daļu no plašāka hipervolumetriskās HTTP DDoS aktivitātes pieauguma, ko 2025. gada ceturtajā ceturksnī izraisīja AISURU/Kimwolf. Šie uzbrukumi atspoguļo pieaugošu tendenci uz īslaicīgiem, bet ārkārtīgi augstas caurlaidspējas uzbrukumiem, kuru mērķis ir pārslogot mūsdienu interneta infrastruktūru, pirms tradicionālās aizsardzības sistēmas var pilnībā reaģēt.
Kampaņa “Nakts pirms Ziemassvētkiem”
AISURU/Kimwolf ir saistīts arī ar sekojošu liela mēroga operāciju, kas pazīstama kā “Nakts pirms Ziemassvētkiem” un sākās 2025. gada 19. decembrī. Šīs kampaņas laikā hipervolumetriskie uzbrukumi vidēji sasniedza 3 miljardus pakešu sekundē (Bpps), 4 Tbps joslas platumu un 54 miljonus pieprasījumu sekundē (MRPS). Maksimālais līmenis sasniedza pat 9 Bpps, 24 Tbps un 205 MRPS, uzsverot botneta spēju ģenerēt ilgstošu un ārkārtīgi lielu datplūsmas apjomu.
DDoS aktivitātes eksplozīva izaugsme 2025. gadā
DDoS aktivitāte 2025. gadā ievērojami pieauga, palielinoties par 121 % salīdzinājumā ar iepriekšējo gadu. Vidēji katru stundu automātiski tika mazināti 5376 uzbrukumi. Kopējais gada apjoms vairāk nekā divkāršojās, sasniedzot aptuveni 47,1 miljonu uzbrukumu. Tīkla slāņa uzbrukumi veidoja ievērojamu daļu no šī pieauguma, 2025. gadā mazinot 34,4 miljonus uzbrukumu salīdzinājumā ar 11,4 miljoniem 2024. gadā. Vienīgi ceturtajā ceturksnī tīkla slāņa uzbrukumi veidoja 78 % no visiem DDoS incidentiem, kas ir par 31 % vairāk nekā iepriekšējā ceturksnī un par 58 % vairāk nekā 2024. gadā.
Mēroga un biežuma eskalācija
2025. gada pēdējā ceturksnī hiperapjoma uzbrukumu skaits pieauga par 40 % salīdzinājumā ar iepriekšējo ceturksni, pieaugot no 1304 līdz 1824 incidentiem. Gada sākumā pirmajā ceturksnī tika reģistrēti tikai 717 šādi uzbrukumi. Papildus uzbrukumu biežumam ievērojami palielinājās arī to apjoms, un to apjoms pieauga par vairāk nekā 700 % salīdzinājumā ar liela mēroga uzbrukumiem, kas tika novēroti 2024. gada beigās.
Botnetu paplašināšanās, izmantojot kompromitētas ierīces
Tiek lēsts, ka AISURU/Kimwolf kontrolē botnetu, kurā ir vairāk nekā divi miljoni Android ierīču. Lielākā daļa no tām ir kompromitēti, citu zīmolu Android televizori, kas ir slepeni reģistrēti un maršrutēti, izmantojot dzīvojamo māju starpniekservera tīklus, piemēram, IPIDEA. Šie starpniekservera pakalpojumi ir izmantoti, lai slēptu uzbrukumu izcelsmi un pastiprinātu datplūsmu.
Starpniekservera infrastruktūras darbības traucējumi un tiesvedība
Reaģējot uz šīm darbībām, eksperti nesen pārtrauca IPIDEA dzīvojamo māju starpniekservera tīklu un uzsāka juridiskus pasākumus, lai demontētu desmitiem domēnu, kas tika izmantoti vadības un kontroles operācijām un datplūsmas starpniekservera darbībai. Šī bloķēšana arī traucēja IPIDEA domēnu atrisināšanas iespējām, ievērojami pasliktinot tā spēju pārvaldīt inficētas ierīces un komercializēt savus starpniekservera pakalpojumus. Daudzi konti un domēni tika apturēti pēc tam, kad tika identificēti kā tādi, kas veicina ļaunprogrammatūras izplatīšanu un nelikumīgu piekļuvi dzīvojamo māju starpniekservera tīkliem.
Ļaunprogrammatūras izplatīšana un slepena starpniekservera reģistrācija
Izmeklēšana liecina, ka IPIDEA reģistrēja ierīces, izmantojot vismaz 600 Trojas zirga inficētas Android lietojumprogrammas, kurās bija iestrādāti starpniekservera programmatūras izstrādes komplekti, kā arī vairāk nekā 3000 Trojas zirga inficētus Windows bināros failus, kas bija maskēti kā OneDrive sinhronizācijas rīki vai Windows atjauninājumi. Turklāt Pekinā bāzētā operācija reklamēja VPN un starpniekservera lietojumprogrammas, kas klusībā pārveidoja lietotāju Android ierīces par starpniekservera izejas mezgliem bez lietotāju ziņas vai piekrišanas. Operatori ir saistīti arī ar vismaz duci dzīvojamo māju starpniekservera pakalpojumu, kas sevi pasludināja par likumīgiem piedāvājumiem, galu galā nodrošinot piekļuvi centralizētai IPIDEA kontrolētai infrastruktūrai.
Galvenās DDoS tendences, kas novērotas 2025. gada 4. ceturksnī
Mērķa sektori, skartie reģioni un uzbrukumu izcelsmes vietas: Telekomunikāciju pakalpojumu sniedzēji un operatori bija visvairāk uzbrukumu mērķorganizācijas, kam sekoja informācijas tehnoloģiju, azartspēļu, spēļu un datorprogrammatūras sektori. Visvairāk uzbrukumu piedzīvojušās valstis bija Ķīna, Honkonga, Vācija, Brazīlija, Amerikas Savienotās Valstis, Apvienotā Karaliste, Vjetnama, Azerbaidžāna, Indija un Singapūra. Bangladeša kļuva par lielāko DDoS datplūsmas avotu, apsteidzot Indonēziju, un citi ievērojami avoti bija Ekvadora, Argentīna, Honkonga, Ukraina, Taivāna, Singapūra un Peru.
Aizsardzības stratēģiju ietekme
DDoS uzbrukumu sarežģītība un apjoms strauji pieaug, ievērojami pārsniedzot iepriekš paredzētos ierobežojumus. Šī mainīgā apdraudējumu ainava rada nopietnus izaicinājumus organizācijām, kas cenšas neatpalikt, izmantojot tradicionālos aizsardzības līdzekļus. Uzņēmumiem, kas turpina galvenokārt paļauties uz lokālām apdraudējumu mazināšanas ierīcēm vai pieprasījuma apstrādes centriem, iespējams, būs jāpārvērtē savas DDoS aizsardzības stratēģijas, lai risinātu hiperapjoma, īslaicīgu uzbrukumu realitāti.
