Ботнет AISURU/Kimwolf
Ботнет распределенных атак типа «отказ в обслуживании» (DDoS), отслеживаемый как AISURU/Kimwolf, был связан с беспрецедентной атакой, пиковая скорость которой достигла 31,4 терабит в секунду (Тбит/с). Несмотря на свою чрезвычайную интенсивность, атака была кратковременной, длилась всего 35 секунд. Инцидент произошел в ноябре 2025 года и в настоящее время считается крупнейшей DDoS-атакой, когда-либо зафиксированной.
Оглавление
Рост гиперобъемных HTTP-атак
Исследователи в области безопасности определили это событие как часть более широкого всплеска гипернасыщенной активности HTTP DDoS, вызванной атаками AISURU/Kimwolf в четвертом квартале 2025 года. Эти атаки представляют собой растущую тенденцию к кратковременным, но чрезвычайно высокопроизводительным атакам, призванным перегрузить современную интернет-инфраструктуру до того, как традиционные средства защиты смогут в полной мере отреагировать.
Кампания «Ночь перед Рождеством»
AISURU/Kimwolf также был связан с последующей крупномасштабной операцией, известной как «Ночь перед Рождеством», которая началась 19 декабря 2025 года. В ходе этой кампании гиперобъемные атаки в среднем достигали 3 миллиардов пакетов в секунду (Bpps), 4 Тбит/с пропускной способности и 54 миллионов запросов в секунду (Mrps). Пиковые значения достигали 9 Bpps, 24 Тбит/с и 205 Mrps, что подчеркивает способность ботнета генерировать устойчивые и экстремальные объемы трафика.
Взрывной рост DDoS-атак в 2025 году
В 2025 году активность DDoS-атак резко возросла, увеличившись на 121% по сравнению с предыдущим годом. В среднем каждый час автоматически нейтрализовалось 5376 атак. Общий годовой объем увеличился более чем вдвое, достигнув примерно 47,1 миллиона атак. Значительная часть этого роста пришлась на атаки на сетевом уровне: в 2025 году было нейтрализовано 34,4 миллиона атак по сравнению с 11,4 миллионами в 2024 году. Только в четвертом квартале на атаки на сетевом уровне приходилось 78% всех DDoS-инцидентов, что отражает увеличение на 31% по сравнению с предыдущим кварталом и на 58% по сравнению с 2024 годом.
Увеличение масштаба и частоты
В последнем квартале 2025 года число гипермасштабных атак увеличилось на 40% по сравнению с предыдущим кварталом, поднявшись с 1304 до 1824 инцидентов. Ранее в этом году в первом квартале было зафиксировано всего 717 таких атак. Помимо частоты, значительно увеличился и масштаб атак: их размеры выросли более чем на 700% по сравнению с крупномасштабными атаками, наблюдавшимися в конце 2024 года.
Расширение ботнета за счет взломанных устройств
По оценкам, AISURU/Kimwolf контролирует ботнет, насчитывающий более двух миллионов устройств Android. Большинство из них — это скомпрометированные телевизоры Android неизвестных производителей, которые были тайно зарегистрированы и подключены через резидентные прокси-сети, такие как IPIDEA. Эти прокси-сервисы используются для сокрытия источников атак и усиления трафика.
Нарушение работы прокси-инфраструктуры и судебные иски
В ответ на эти действия эксперты недавно нарушили работу сети резидентных прокси IPIDEA и инициировали юридические меры по удалению десятков доменов, используемых для операций управления и контроля, а также для проксирования трафика. Удаление также нарушило возможности IPIDEA по разрешению доменов, значительно ухудшив ее способность управлять зараженными устройствами и коммерциализировать свои прокси-сервисы. Многочисленные учетные записи и домены были заблокированы после того, как было установлено, что они способствуют распространению вредоносного ПО и незаконному доступу к сетям резидентных прокси.
Распространение вредоносного ПО и скрытая регистрация прокси-серверов
Расследования показывают, что IPIDEA регистрировала устройства через как минимум 600 троянизированных приложений для Android, содержащих комплекты разработки прокси-серверов, а также более 3000 троянизированных бинарных файлов Windows, замаскированных под инструменты синхронизации OneDrive или обновления Windows. Кроме того, эта базирующаяся в Пекине организация рекламировала VPN и прокси-приложения, которые незаметно превращали устройства Android пользователей в узлы выхода прокси без ведома или согласия пользователя. Операторы также были связаны как минимум с десятком резидентных прокси-сервисов, которые представлялись легитимными предложениями, но в конечном итоге подключались к централизованной инфраструктуре, контролируемой IPIDEA.
Ключевые тенденции DDoS-атак, наблюдаемые в 4 квартале 2025 года.
Целевые сектора, затронутые регионы и источники атак: Наиболее часто атаковали телекоммуникационные компании и операторов связи, за ними следуют секторы информационных технологий, азартных игр, компьютерного программного обеспечения и другие. Среди стран, наиболее часто подвергавшихся атакам, были Китай, Гонконг, Германия, Бразилия, США, Великобритания, Вьетнам, Азербайджан, Индия и Сингапур. Бангладеш стал крупнейшим источником DDoS-трафика, обогнав Индонезию, а среди других крупных источников — Эквадор, Аргентина, Гонконг, Украина, Тайвань, Сингапур и Перу.
Последствия для оборонительных стратегий
DDoS-атаки стремительно растут как по сложности, так и по масштабу, значительно превышая ранее прогнозируемые пределы. Эта постоянно меняющаяся картина угроз создает серьезные проблемы для организаций, пытающихся идти в ногу со временем, используя традиционные средства защиты. Предприятиям, которые продолжают полагаться в основном на локальные средства защиты или центры обработки запросов, возможно, потребуется пересмотреть свои стратегии защиты от DDoS-атак, чтобы справиться с реальностью сверхмассивных атак короткой продолжительности.
