Міністерство юстиції США оголосило про масштабну операцію з виведення з ладу командно‑контрольної (C2) інфраструктури одразу кількох потужних IoT‑ботнетів: AISURU, Kimwolf, JackSkid та Mossad. Ці мережі, що складалися з мільйонів уразливих пристроїв інтернету речей, використовувалися для організації розподілених DDoS‑атак безпрецедентної потужності проти цілей у всьому світі.
Масштабна операція Мін’юсту США проти IoT‑ботнетів
За даними Мін’юсту, технічна операція проводилася на підставі судових ордерів та передбачала тісну взаємодію з правоохоронними органами Канади та Німеччини. Паралельно в цих країнах тривають слідчі дії щодо осіб, які, ймовірно, керували ботнетами або надавали їм інфраструктурну підтримку.
До розслідування були залучені ключові гравці глобальної інтернет‑екосистеми: Akamai, Amazon Web Services (AWS), Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Team Cymru, QiAnXin XLab та низка інших компаній. Завдяки їхній мережевій телеметрії вдалося відстежити аномальний трафік, ідентифікувати вузли управління, заблокувати домени та маршрути, через які здійснювалося керування ботнетами.
Рекордні DDoS‑атаки: до 31,4 Тбіт/с і десятки мільярдів пакетів за секунду
За інформацією Мін’юсту США, чотири викриті ботнети проводили DDoS‑атаки потужністю до 30 Тбіт/с — показник, що перевищує багато з попередніх відомих інцидентів у галузі. Такі обсяги трафіку здатні перевантажити навіть інфраструктуру великих операторів зв’язку та хмарних провайдерів.
Компанія Cloudflare окремо повідомила, що ботнет AISURU/Kimwolf у листопаді 2025 року здійснив атаку піковою потужністю 31,4 Тбіт/с. Хоча вона тривала лише 35 секунд, цього було достатньо, щоб створити загрозу стабільності мережевої інфраструктури цілої низки провайдерів. Наприкінці року фіксувалися так звані гіпероб’ємні DDoS‑кампанії — до 3 млрд пакетів за секунду (Bpps), близько 4 Тбіт/с за обсягом трафіку та приблизно 54 млн запитів HTTP на секунду (Mrps).
За підрахунками Akamai, сумарна активність вказаних ботнетів сягала понад 30 Тбіт/с, до 14 млрд пакетів за секунду та більше ніж 300 млн запитів за секунду. В окремих випадках кібершахраї використовували ці атаки як інструмент шантажу — жертвам надсилали вимоги сплатити «викуп» за припинення DDoS‑тиску, що вкладається у тренд DDoS‑вимагань, який посилюється останніми роками.
Еволюція Mirai: як працюють ботнети AISURU і Kimwolf
Усі чотири мережі розглядаються слідством як варіанти ботнету Mirai — зловмисної платформи, що з 2016 року активно експлуатує вразливі IoT‑пристрої (IP‑камери, DVR, маршрутизатори тощо). У межах поточної кампанії було скомпрометовано щонайменше 3 млн пристроїв по всьому світу, з яких сотні тисяч розташовані у США.
Residential proxy: новий вектор через домашні та офісні мережі
Ботнет Kimwolf продемонстрував відхід від класичної моделі Mirai, яка спирається на масове сканування відкритого інтернету. Замість цього оператори активно задействували мережі residential proxy — інфраструктуру, що ретранслює трафік через пристрої у домашніх та офісних локальних мережах.
Як пояснив віцепрезидент та Distinguished Engineer AWS Том Шолл, зловмисники проникали до внутрішніх сегментів через вже скомпрометовані IoT‑пристрої, зокрема стримінгові ТВ‑приставки та інші смарт‑девайси. Це дозволяло їм отримувати доступ до пристроїв, які зазвичай захищені NAT і міжмережевими екранами домашніх роутерів і не піддаються прямому скануванню з інтернету.
Масове зараження Android‑TV і модель «ботнет як послуга»
Окремий пов’язаний ботнет включав понад 2 млн Android‑пристроїв, переважно недорогі або «безіменні» Android‑TV‑приставки з застарілим чи вразливим програмним забезпеченням. До мережі також входили цифрові відеореєстратори, IP‑камери та Wi‑Fi‑маршрутизатори.
За даними Мін’юсту США, оператори Kimwolf та JackSkid цілеспрямовано атакували пристрої, які вважаються «прихованими» за домашніми фаєрволами. Після зараження вони перетворювалися на керовані вузли, до яких зловмисники надавали віддалений доступ іншим кримінальним групам за моделлю «cybercrime‑as‑a‑service». Фактично це «ботнет як послуга» — будь‑хто, хто сплатить, може орендувати частину потужності для власних DDoS‑кампаній.
Пошук операторів ботнетів і правові обмеження
Журналіст із кібербезпеки Браян Кребс пов’язав адміністратора Kimwolf з 23‑річним мешканцем Оттави (Канада). Сам фігурант заперечує причетність і стверджує, що його колишній акаунт могли зламати та використати для підміни особи. Серед можливих співучасників також згадується 15‑річний підліток із Німеччини. На момент оприлюднення інформації офіційні дані про затримання відсутні.
З юридичної точки зору поточна операція фокусується насамперед на технічному знешкодженні інфраструктури — блокуванні доменів, серверів C2 та маршрутів трафіку. Такий підхід типовий для боротьби з ботнетами: атрибуція та кримінальне переслідування операторів часто тривають роками, тоді як технічне відключення дозволяє оперативно зменшити шкоду для бізнесу та користувачів.
Ризики для бізнесу та власників домашніх IoT‑пристроїв
Гіпероб’ємні DDoS‑атаки потужністю в десятки терабіт за секунду здатні паралізувати критичну інтернет‑інфраструктуру, спричинити масові збої сервісів, затримки в роботі хмарних платформ і перевантаження мереж операторів. Для компаній це означає простій онлайн‑послуг, фінансові втрати, зрив SLA та суттєві репутаційні ризики.
Для пересічних користувачів головна загроза полягає в непомітному залученні домашніх IoT‑девайсів до ботнету. Смарт‑ТВ, Android‑TV‑приставки, камери відеоспостереження, «розумні» роутери з типовими паролями, неоновлюваною прошивкою або нелегальним ПЗ можуть працювати на кіберзлочинців, створюючи додаткове навантаження на канал та збільшуючи поверхню атаки домашньої мережі.
Щоб зменшити ризики, власникам IoT‑пристроїв варто змінювати стандартні облікові дані, регулярно оновлювати прошивку, вимикати непотрібні служби доступу з інтернету, а також розділяти основну й гостьову Wi‑Fi‑мережі. Бізнесу критично важливо інвестувати в DDoS‑захист терабітного масштабу, впроваджувати безперервний моніторинг аномалій трафіку та співпрацювати з провайдерами, здатними фільтрувати трафік на рівні глобальної мережевої інфраструктури.
Сучасні IoT‑ботнети типу AISURU і Kimwolf демонструють, що інтернет речей перетворився на ключову арену кіберконфліктів. Чим більше в мережі з’являється «розумних» пристроїв, тим вищою стає ставка за помилки в їхньому захисті. Саме тому компаніям і користувачам варто вже сьогодні переглянути свою стратегію кібербезпеки: інвентаризувати підключені девайси, посилити контроль доступу, впровадити DDoS‑захист і стежити за оновленнями безпеки. Чим раніше будуть виконані ці кроки, тим складніше буде наступному поколінню ботнетів використати ваші пристрої як зброю в глобальних атаках.
