Правоохранительные органы США, Германии и Канады провели крупномасштабную координированную операцию против четырех из наиболее мощных IoT-ботнетов последних лет — Aisuru, Kimwolf, JackSkid и Mossad. В результате была выведена из строя их управляющая инфраструктура, которая использовалась для массовых DDoS-атак по всему миру, включая цели в критически важной сети Министерства обороны США (DoDIN).
Международное взаимодействие и роль частного сектора
Операция проводилась под эгидой Министерства юстиции США при участии правоохранителей Германии и Канады и опиралась на масштабную экспертизу частного сектора. В расследование были вовлечены специалисты Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud и ряда других компаний, управляющих значимой частью глобальной интернет-инфраструктуры.
По данным Минюста США, в совокупности эти ботнеты заразили более 3 миллионов IoT- и смежных устройств по всему миру — от веб-камер и видеорегистраторов до домашних Wi‑Fi-роутеров. Сотни тысяч скомпрометированных узлов находились в сетях на территории США, что делало ботнеты особенно опасными для локальных провайдеров и организаций.
Ликвидация инфраструктуры и масштаб DDoS-атак
В ходе операции были изъяты виртуальные серверы, доменные имена и иные элементы инфраструктуры, использовавшиеся как центры управления и контроля (C2). Именно через них операторы ботнетов отдавали команды на проведение сотен тысяч DDoS-атак против организаций по всему миру, включая государственные сети и коммерческие сервисы.
Судебные документы показывают, что только ботнет Aisuru инициировал свыше 200 000 команд на DDoS-атаки, JackSkid — более 90 000, Kimwolf — свыше 25 000, а Mossad — более тысячи. Aisuru при этом стал автором нескольких рекордов: в декабре 2025 года он провел атаку мощностью 31,4 Тбит/с и 200 млн запросов в секунду, нацеленную на компании телеком-сектора, установив новый рубеж в истории DDoS. Предыдущий рекорд — 29,7 Тбит/с — также принадлежал этому ботнету.
Эволюция IoT-ботнетов: Kimwolf как Android-наследник Aisuru
Отдельного внимания заслуживает ботнет Kimwolf, впервые подробно описанный исследователями XLab в декабре 2025 года. Он заразил миллионы устройств на базе Android — в основном бюджетные смарт‑TV и ТВ-приставки — и фактически стал Android-версией Aisuru. По оценке вице-президента AWS Тома Шолла, Kimwolf радикально изменил подход к масштабированию ботнетов.
Вместо традиционного сканирования всего интернета в поиске уязвимых узлов Kimwolf активно использовал резидентные прокси-сети и проникал во внутренние домашние сети через уже скомпрометированные IoT-устройства. Это делало заражение менее заметным и затрудняло блокировку трафика: атаки выглядели как поток запросов от легитимных домашних пользователей, а не от типичных «подозрительных» хостинговых IP-адресов.
Null-route и эксплуатация уязвимостей в резидентных прокси
По информации специалистов Lumen Black Lotus Labs, в рамках операции были отправлены в null-route почти тысяча управляющих серверов Aisuru и Kimwolf. Техника null-routing предполагает перенаправление трафика к «черной дыре», effectively изолируя вредоносный узел от сети без влияния на легитимные сервисы.
Исследователи отмечают, что в первые две недели марта 2026 года ботнет JackSkid ежедневно заражал в среднем более 150 000 устройств, а Mossad — свыше 100 000 устройств в день. При этом JackSkid и Mossad эксплуатировали ту же уязвимость в резидентных прокси-провайдерах, связанную с устройствами с открытым Android Debug Bridge (ADB), что и Kimwolf. Оставленный включенным и доступным из интернета ADB предоставляет злоумышленникам практически полный удаленный контроль над устройством.
Cybercrime-as-a-service и фигуранты расследования
Операторы этих ботнетов монетизировали инфраструктуру по модели cybercrime-as-a-service — предоставляли DDoS-атаки и иные услуги другим преступным группам по подписке или разовым заказам. В ряде случаев они переходили к вымогательству, угрожая жертвам продолжительными или повторными атаками, если те не заплатят выкуп. Подобная модель превращает высокотехнологичную киберпреступность в доступный сервис «по запросу», снижая порог входа для менее квалифицированных злоумышленников.
Еще зимой независимый журналист по информационной безопасности Брайан Кребс писал, что возможным администратором Kimwolf может быть 23‑летний житель Оттавы Джейкоб Батлер (Jacob Butler, псевдоним Dort), а вторым подозреваемым — 15‑летний подросток из Германии. Сам Батлер отрицал связь с текущей активностью под ником Dort, заявляя, что его старый аккаунт был скомпрометирован. На данный момент правоохранительные органы не сообщали об арестах, а все озвученные имена остаются на уровне версий журналистского расследования.
Угрозы для инфраструктуры и практические выводы
По оценке Akamai, подобные сверхмощные DDoS-кампании способны парализовать ключевую интернет-инфраструктуру, ухудшить качество услуг у провайдеров и создать нагрузку даже для специализированных облачных сервисов защиты от DDoS. Компрометация миллионов бытовых устройств превращает каждую незащищенную камеру или ТВ-приставку в потенциальный «микроузел» глобального оружия, направленного против бизнеса и государственных структур.
Отключение инфраструктуры Aisuru, Kimwolf, JackSkid и Mossad — важный шаг в ослаблении действующих ботнетов, но не окончательное решение проблемы. Производителям IoT-устройств необходимо минимизировать использование небезопасных сервисов вроде открытого ADB по умолчанию, внедрять автоматические обновления и безопасные настройки. Организациям критически важно внедрять многоуровневую защиту от DDoS, сегментацию сетей, постоянный мониторинг аномалий трафика и тесно взаимодействовать с провайдерами и профильными ИБ-компаниями.
Обычным пользователям и небольшим компаниям имеет смысл начать с базовых мер: сменить стандартные пароли на роутерах и камерах, регулярно обновлять прошивки, отключать удаленный доступ и отладочные интерфейсы, если они не используются. Масштаб разоблаченных ботнетов показывает, что каждый незащищенный IoT‑девайс может стать частью глобальной атаки. Чем раньше будет выстроена гигиена кибербезопасности на бытовом уровне, тем сложнее злоумышленникам будет собирать новые армии подключенных устройств для рекордных DDoS-кампаний.
