Облачная платформа Microsoft Azure стала целью одной из самых мощных DDoS-атак последних лет. По данным компании, зафиксированная мощность достигла 15,72 Тбит/с, а вредоносный трафик поступал одновременно примерно с 500 000 уникальных IP-адресов. За атакой стоял хорошо известный специалистам по кибербезопасности ботнет Aisuru, относящийся к семейству Turbo Mirai и использующий скомпрометированные IoT-устройства.
DDoS-атака на Microsoft Azure: масштаб и особенности
По информации Microsoft, злоумышленники развернули массированный UDP-флуд против конкретного публичного IP-адреса, расположенного в Австралии. Скорость обработки трафика в пиковый момент достигала примерно 3,64 млрд пакетов в секунду (pps), что сопоставимо с попыткой одновременно «забить» сетевую инфраструктуру миллиардами мелких запросов.
Примечательная особенность инцидента заключается в том, что практически не использовался спуфинг источников (подмена IP-адресов отправителя). Трафик шел с реальных адресов и при этом направлялся на случайные порты. Такой подход, с одной стороны, усложняет фильтрацию на уровне простых сигнатур, а с другой — облегчает провайдерам и операторам инфраструктуры отслеживание источников атаки и оперативное применение фильтров и блокировок.
Ботнет Aisuru: эволюция IoT-угроз класса Turbo Mirai
Исследователи описывают Aisuru как IoT-ботнет класса Turbo Mirai, который специализируется на высокоинтенсивных DDoS-атаках. В состав ботнета входят прежде всего скомпрометированные домашние роутеры, IP-камеры, DVR/NVR-устройства и иное оборудование, подключенное к интернету и зачастую слабо защищённое.
По данным предыдущих исследований, Aisuru эксплуатирует набор известных уязвимостей в сетевых и IoT-устройствах: в том числе в продуктах Totolink, T-Mobile, Zyxel, D-Link, Linksys, в IP-камерах и в решениях на базе чипов Realtek. Особенную роль в росте ботнета сыграла компрометация сервера обновлений роутеров Totolink, после чего был зафиксирован резкий скачок количества заражённых устройств.
Рекордные атаки Aisuru: от Microsoft Azure до Cloudflare
Атака на Microsoft Azure далеко не первый эпизод, когда Aisuru устанавливает новые «рекорды» по мощности DDoS. В сентябре 2025 года компания Cloudflare сообщила об отражении атаки того же ботнета с пиковым трафиком 22,2 Тбит/с и скоростью до 10,6 млрд пакетов в секунду. При этом длительность пика составила около 40 секунд — этого достаточно, чтобы вывести из строя уязвимые сервисы без продвинутой защиты от DDoS.
Чуть ранее исследовательская команда Qianxin Xlab зафиксировала другую атаку Aisuru с мощностью порядка 11,5 Тбит/с. Тогда эксперты оценивали размер ботнет-сети более чем в 300 000 заражённых устройств по всему миру, отмечая, что основная масса узлов расположена в сетях крупных интернет-провайдеров США и других стран.
Не только DDoS: попытка манипуляции рейтингами доменов Cloudflare
Операторы Aisuru ограничиваются не только перегрузкой сетей жертв. По данным специалистов и публичных сообщений, злоумышленники пытались использовать ботнет для манипуляции DNS-статистикой Cloudflare. Речь идёт о публичном рейтинге Cloudflare Top Domains, который формируется на основе объема DNS-запросов к популярным доменам.
Домены, контролируемые Aisuru, начали искусственно «взлетать» в списке и обгонять по количеству запросов ресурсы уровня Amazon, Microsoft и Google. Это стало возможным за счёт генерации огромных объёмов вредоносных DNS-запросов к публичному резолверу 1.1.1.1. Фактически ботнет пытался подорвать доверие к рейтингу, превратив метрику популярности домена в показатель активности вредоносной инфраструктуры.
Руководство Cloudflare подтверждало, что поведение Aisuru заметно искажало результаты ранжирования. В результате компания была вынуждена ввести дополнительные фильтры: подозрительные домены теперь редактируются или полностью исключаются из публичного списка, чтобы снизить влияние автоматизированного трафика ботнетов.
Случай с Aisuru наглядно демонстрирует, как массовый взлом IoT-устройств превращается в инструмент атаки на критическую сетевую инфраструктуру и доверенные интернет-сервисы. Пользователям и организациям важно не игнорировать обновления прошивок роутеров и IP-камер, отключать ненужный удалённый доступ, менять заводские пароли и использовать сегментацию сети для изоляции «умных» устройств. Провайдерам и владельцам онлайн-сервисов необходимо внедрять многоуровневую защиту от DDoS, мониторинг аномалий и сотрудничать с глобальными анти-DDoS-платформами — только так можно снизить вероятность того, что следующий рекорд ботнета будет установлён за счёт их инфраструктуры.
