Инфраструктура компании автоматически обнаружила и заблокировала поток трафика объёмом 15.72 Тбит в секунду и почти 3.64 млрд пакетов в секунду. Настолько высокий уровень нагрузки ранее не наблюдался в облачных средах и стал очередным проявлением роста мощности бот-сетей, состоящих из бытовых устройств, пишет Securitylab.
Источник атаки, по данным Microsoft, связан с IoT-ботнетом AISURU, построенным по принципам семейства TurboMirai. Потоки UDP-пакетов шли более чем с 500 тысяч адресов, распределённых по разным регионам. Использование случайных портов упростило отслеживание маршрутов и дало провайдерам возможность оперативно заблокировать вредоносный трафик. Кому именно предназначался удар, пока не раскрывается.
По данным исследовательских команд QiAnXin XLab, в состав AISURU входит около 300 тысяч заражённых устройств. В эту группу попадают домашние маршрутизаторы, камеры наблюдения и видеорегистраторы. В отчётах NETSCOUT указывается, что операторы бот-сети ограничивают круг заказчиков и избегают атак на структуры, относящиеся к государственным или силовым ведомствам. Большая часть замеченных эпизодов связана с игровыми сервисами.
Распространение подобных сетей сопровождается появлением побочных функций. Помимо сверхмощных DDoS-атак, AISURU применяется для подбора учётных данных, автоматического сбора контента с помощью алгоритмов искусственного интеллекта, рассылки спама и фишинговых сообщений. Внутри бот-сети предусмотрен и сервис обхода блокировок через домашние прокси.
Microsoft отмечает, что масштаб подобных операций растёт пропорционально развитию инфраструктуры — повышение пропускной способности сетей и рост производительности бытовой электроники расширяют возможности злоумышленников.