В декабре 2025 года зафиксирована одна из самых мощных DDoS-атак за всю историю наблюдений: ботнет Aisuru (известный также как Kimwolf) сгенерировал трафик пиковой мощностью 31,4 Тбит/с и до 200 млн HTTP-запросов в секунду. Основной удар пришелся по компаниям телекоммуникационного сектора, а также по инфраструктуре провайдера защитных сервисов Cloudflare.
Рекорд Aisuru и эволюция DDoS-угроз
Ботнет Aisuru уже ранее фигурировал в отчетах как один из самых опасных инструментов для проведения распределенных атак отказа в обслуживании. За ним числится и предыдущий публично известный рекорд — DDoS-атака мощностью 29,7 Тбит/с. Кроме того, эксперты Microsoft ранее связывали с этим же ботнетом нападение объемом 15,72 Тбит/с, в котором участвовало порядка 500 000 уникальных IP-адресов.
Новый эпизод демонстрирует, что злоумышленники не только закрепили свои позиции, но и существенно нарастили потенциал атакующей инфраструктуры. Рост с 29,7 до 31,4 Тбит/с при сохранении высокой интенсивности запросов говорит о том, что ботнет активно пополняется новыми скомпрометированными устройствами и оптимизирует схемы генерации трафика.
Кампания «Ночь перед Рождеством»: кого и как атаковали
Cloudflare описала эту операцию как масштабную и скоординированную кампанию, нацеленную прежде всего на телеком-провайдеров и IT-компании. Из-за даты и времени начала атак внутри компании её окрестили «Ночь перед Рождеством» — атаки пришлись на ночь с 18 на 19 декабря 2025 года.
По данным Cloudflare, под удар попали не только клиенты, но и панель управления и собственная инфраструктура компании. Это редкий случай, когда атакующие одновременно пытаются перегрузить и сервисы защиты, и обслуживаемых ими заказчиков, рассчитывая вывести из строя несколько уровней обороны сразу.
Особенностью кампании стало то, что большинство атак было очень короткими и сверхмощными. Более половины эпизодов длились всего от одной до двух минут, и лишь около 6% продолжались дольше. При этом примерно 90% атак достигали полосы пропускания 1–5 Тбит/с, а около 94% — генерировали от 1 до 5 млрд пакетов в секунду. Такая тактика «коротких ударов» усложняет обнаружение и фильтрацию, особенно при недостатке автоматизированных средств реагирования.
Технический разбор: HTTP DDoS и атаки уровня 4
Кампания сочетала в себе гиперобъемные HTTP DDoS-атаки (на уровне приложений) и атаки уровня 4 (L4), направленные на сетевую инфраструктуру. HTTP DDoS нацелен на перегрузку веб-серверов лавиной легитимно выглядящих запросов: даже если каждый отдельный запрос корректен, их совокупный объем делает сайт или API недоступным.
Атаки уровня 4 бьют ниже — по транспортному уровню (TCP/UDP). При пиковых 31,4 Тбит/с нагрузка ложится на каналы связи и сетевое оборудование, что способно парализовать не только конечные сервисы, но и магистральную инфраструктуру провайдеров.
Комбинация L4- и HTTP-атак позволяет злоумышленникам одновременно воздействовать на разные слои стека: сначала перегружается сеть, затем прикладные сервисы. Для эффективной защиты в таких условиях необходима связка операторских фильтров на стороне провайдера и специализированных DDoS-защитных решений, работающих на периметре и в облаке.
От IoT к Android TV: как изменился состав ботнета
Ранее Aisuru в основном ассоциировался с сетями, собранными из скомпрометированных IoT-устройств и домашних роутеров. В новой кампании «Ночь перед Рождеством» эксперты зафиксировали примечательное изменение: значительная часть атакующего трафика исходила от устройств на базе Android TV.
С точки зрения кибербезопасности это логичное развитие ситуации. Смарт-телевизоры и медиаприставки:
- часто имеют постоянное подключение к интернету;
- редко обновляются пользователями;
- используют типичные и предсказуемые конфигурации;
- часто защищены слабыми или стандартными паролями.
В результате они становятся удобной мишенью для массового заражения и последующего использования в качестве «узлов» ботнета. Наличие у таких устройств относительно мощного процессора и хорошего сетевого канала делает их особенно эффективными генераторами DDoS-трафика.
Как компаниям готовиться к атакам уровня 30+ Тбит/с
Инцидент с Aisuru еще раз показывает, что традиционных средств защиты и отдельных межсетевых экранов уже недостаточно. Организациям, работающим в телеком-, финансовом и онлайн-секторах, стоит учитывать следующие меры:
- Интеграция с операторами связи: согласование процедур фильтрации трафика «в магистрали» (upstream filtering) до его попадания в инфраструктуру компании.
- Использование специализированных DDoS-сервисов: многослойная защита на уровнях L3/L4 и L7 с автоматическим переключением при обнаружении аномалий.
- Регулярное тестирование готовности: учения и имитация DDoS, проверка времени реакции и настройки систем оповещения.
- Защита IoT и «умных» устройств: аудит подключенных к сети устройств, смена стандартных паролей, обновление прошивок, сегментация сети.
- План обеспечения устойчивости бизнеса (BCP): сценарии отказоустойчивости, резервные каналы связи и распределение сервисов по нескольким площадкам и облакам.
Рост мощности DDoS-атак до десятков терабит в секунду и вовлечение в ботнеты новых категорий устройств — от роутеров до Android TV — делают подобные инциденты не единичными ЧП, а новой нормой цифровой среды. Компании, для которых доступность онлайн-сервисов критична, должны рассматривать защиту от DDoS не как разовую покупку оборудования, а как непрерывный процесс управления рисками, включающий технические, организационные и образовательные меры. Чем раньше вы начнете выстраивать многоуровневую оборону, тем меньше шансов, что следующая «Ночь перед Рождеством» пройдет за счет вашей инфраструктуры.
