Ботнет AISURU/Kimwolf
Розподілений ботнет типу «відмова в обслуговуванні» (DDoS), що відстежується як AISURU/Kimwolf, пов'язують з безпрецедентною атакою, пік якої досяг 31,4 терабіт/с (Тбіт/с). Незважаючи на надзвичайну інтенсивність, атака була короткочасною, тривала лише 35 секунд. Інцидент стався в листопаді 2025 року і зараз є найбільшою DDoS-атакою, яку коли-небудь спостерігали.
Зміст
Зростання гіпероб’ємних HTTP-атак
Дослідники з безпеки визначили цю подію як частину ширшого сплеску гіпероб'ємної HTTP DDoS-активності, спричиненої AISURU/Kimwolf протягом четвертого кварталу 2025 року. Ці атаки відображають зростаючу тенденцію до короткочасних, але надзвичайно високопродуктивних атак, спрямованих на перевантаження сучасної інтернет-інфраструктури, перш ніж традиційні засоби захисту зможуть повноцінно відреагувати.
Кампанія «Ніч перед Різдвом»
AISURU/Kimwolf також була пов'язана з подальшою масштабною операцією під назвою «Ніч перед Різдвом», яка розпочалася 19 грудня 2025 року. Під час цієї кампанії гіпероб'ємні атаки в середньому сягали 3 мільярдів пакетів на секунду (Bpps), 4 Тбіт/с пропускної здатності та 54 мільйонів запитів на секунду (Mrps). Пікові рівні сягали 9 Bpps, 24 Тбіт/с та 205 Mrps, що підкреслює здатність ботнету генерувати стійкі та екстремальні обсяги трафіку.
Вибухове зростання DDoS-активності у 2025 році
DDoS-активність різко зросла протягом 2025 року, збільшившись на 121% у річному обчисленні. В середньому щогодини автоматично запобігалося 5376 атакам. Загальний річний обсяг зріс більш ніж удвічі, досягнувши приблизно 47,1 мільйона атак. Атаки мережевого рівня становили значну частину цього зростання, причому у 2025 році було запобігнуто 34,4 мільйона порівняно з 11,4 мільйонами у 2024 році. Тільки у четвертому кварталі атаки мережевого рівня становили 78% усіх DDoS-інцидентів, що відображає зростання на 31% порівняно з попереднім кварталом та зростання на 58% порівняно з 2024 роком.
Ескалація масштабу та частоти
В останньому кварталі 2025 року спостерігалося 40% зростання кількості гіпероб'ємних атак порівняно з попереднім кварталом, з 1304 до 1824 інцидентів. Раніше в першому кварталі було зареєстровано лише 717 таких атак. Окрім частоти, значно зросла також і масштабність атак, а їх розміри зросли більш ніж на 700% порівняно з масштабними атаками, що спостерігалися наприкінці 2024 року.
Розширення ботнету через скомпрометовані пристрої
За оцінками, AISURU/Kimwolf контролює ботнет із понад двох мільйонів пристроїв Android. Більшість із них – це скомпрометовані телевізори Android інших брендів, які були таємно зареєстровані та маршрутизовані через мережі проксі-серверів для житлових приміщень, такі як IPIDEA. Ці проксі-сервіси використовуються для приховування походження атак та посилення трафіку.
Порушення інфраструктури проксі-серверів та судові позови
У відповідь на ці дії експерти нещодавно порушили роботу мережі житлових проксі-серверів IPIDEA та вжили правових заходів для ліквідації десятків доменів, що використовувалися для операцій командування та управління та проксування трафіку. Видалення також перешкоджало можливостям IPIDEA щодо вирішення проблем з доменами, значно погіршуючи її здатність керувати зараженими пристроями та комерціалізувати свої проксі-сервіси. Численні облікові записи та домени були призупинені після того, як їх було виявлено як такі, що сприяють поширенню шкідливого програмного забезпечення та незаконному доступу до мереж житлових проксі-серверів.
Розповсюдження шкідливого програмного забезпечення та прихована реєстрація проксі-сервера
Розслідування показують, що IPIDEA реєструвала пристрої через щонайменше 600 троянських програм Android, що вбудовують комплекти розробки проксі-програмного забезпечення, а також понад 3000 троянських бінарних файлів Windows, замаскованих під інструменти синхронізації OneDrive або оновлення Windows. Крім того, пекінська операція рекламувала VPN та проксі-програми, які непомітно перетворювали пристрої Android користувачів на вузли виходу проксі-серверів без відома чи згоди користувача. Оператори також були пов'язані щонайменше з десятком житлових проксі-сервісів, які представлялися як законні пропозиції, але зрештою використовувалися для централізованої інфраструктури, контрольованої IPIDEA.
Ключові тенденції DDoS-атак, що спостерігалися у 4 кварталі 2025 року
Цільові сектори, уражені регіони та джерела атак: Постачальники та оператори телекомунікацій були найбільш мішенями для атак, далі йшли сектори інформаційних технологій, азартних ігор, ігор та комп'ютерного програмного забезпечення. Серед країн, що найбільше атакували, були Китай, Гонконг, Німеччина, Бразилія, США, Велика Британія, В'єтнам, Азербайджан, Індія та Сінгапур. Бангладеш стала найбільшим джерелом DDoS-трафіку, випередивши Індонезію, а серед інших відомих джерел були Еквадор, Аргентина, Гонконг, Україна, Тайвань, Сінгапур та Перу.
Наслідки для оборонних стратегій
DDoS-атаки швидко зростають як за складністю, так і за масштабами, значно перевищуючи раніше очікувані межі. Цей ландшафт загроз, що розвивається, створює серйозні труднощі для організацій, які намагаються йти в ногу з часом, використовуючи традиційні засоби захисту. Підприємствам, які продовжують покладатися переважно на локальні засоби запобігання атакам або центри очищення на вимогу, можливо, доведеться переглянути свої стратегії захисту від DDoS-атак, щоб врахувати реалії гіпероб'ємних, короткочасних атак.
