Министерство юстиции США объявило о масштабной операции по выводу из строя командно‑контрольной (C2) инфраструктуры сразу нескольких ботнетов интернета вещей (IoT) — AISURU, Kimwolf, JackSkid и Mossad. Эти сети использовались для проведения распределённых атак отказа в обслуживании (DDoS) беспрецедентной мощности и охватывали миллионы уязвимых устройств по всему миру.
Операция против IoT‑ботнетов: международное сотрудничество и роль частного сектора
По данным Минюста США, операция проводилась на основании судебных ордеров и включала тесное взаимодействие с правоохранительными органами Канады и Германии. Параллельно киберпреступники, управлявшие ботнетами, стали объектом следственных действий в этих странах.
К расследованию были привлечены ключевые игроки глобальной интернет‑инфраструктуры: Akamai, Amazon Web Services (AWS), Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Team Cymru, QiAnXin XLab и другие компании. Их сети и телеметрия позволили отследить трафик, идентифицировать узлы управления и провести техническую нейтрализацию ботнетов.
Рекордные DDoS‑атаки: до 31,4 Тбит/с и миллиарды пакетов в секунду
По информации Минюста, четыре ботнета осуществляли DDoS‑атаки на организации по всему миру, причём мощность отдельных атак достигала примерно 30 Тбит/с, что уже само по себе является рекордным показателем для отрасли.
Отдельно Cloudflare сообщила, что ботнет AISURU/Kimwolf в ноябре 2025 года инициировал атаку мощностью 31,4 Тбит/с, продолжавшуюся всего 35 секунд, но представлявшую серьёзную угрозу для сетевой инфраструктуры. В конце года фиксировались так называемые гипер‑объёмные DDoS‑кампании: до 3 млрд пакетов в секунду (Bpps), около 4 Тбит/с по трафику и порядка 54 млн запросов в секунду (Mrps).
По данным Akamai, совокупная активность этих ботнетов включала атаки свыше 30 Тбит/с, до 14 млрд пакетов в секунду и более 300 млн запросов в секунду, причём в ряде случаев злоумышленники использовали DDoS как инструмент вымогательства, требуя от жертв оплату за прекращение атак.
Как работали ботнеты Kimwolf и AISURU: Mirai 2.0 и новый вектор через домашние сети
Все четыре сети рассматриваются как варианты ботнета Mirai — вредоносной платформы, впервые появившейся в 2016 году и специализирующейся на захвате устройств интернета вещей (камеры, DVR, роутеры и т.п.). В рассматриваемом случае было заражено не менее 3 млн устройств по всему миру, из которых сотни тысяч находились в США.
Отдельно отмечается, что ботнет Kimwolf изменил привычную модель функционирования IoT‑ботнетов. Если классические Mirai‑подобные сети сканируют открытый интернет в поисках уязвимых устройств, Kimwolf активно использовал residential proxy‑сети — инфраструктуру, которая маршрутизирует трафик через устройства в домашних и офисных сетях.
Как объяснил в своей аналитике Том Шолл, вице‑президент и Distinguished Engineer в AWS, ботнет проникал во внутренние домашние сети через скомпрометированные IoT‑устройства, включая стриминговые ТВ‑приставки и другие смарт‑устройства. Таким образом злоумышленники получали доступ к сегментам, которые обычно защищены NAT и межсетевыми экранами домашних роутеров и недоступны для прямого сканирования из интернета.
Массовое заражение Android‑устройств и «ботнет как услуга»
Отдельный ботнет, связанный с этой группой, включал более 2 млн Android‑устройств, преимущественно недорогие или «безымянные» Android‑TV‑приставки, поставляемые с устаревшим или уязвимым ПО. Помимо них в сеть входили цифровые видеорегистраторы, IP‑камеры и Wi‑Fi‑роутеры.
По данным Минюста США, операторы Kimwolf и JackSkid целенаправленно атаковали устройства, которые обычно считаются «спрятанными» за фаерволом. После заражения они превращались в управляемые узлы, к которым злоумышленники предоставляли доступ по модели «cybercrime‑as‑a‑service» — продавали другим киберпреступникам возможность запускать с этих устройств собственные DDoS‑атаки.
Поиск операторов ботнетов и правовые аспекты
Независимый журналист в сфере кибербезопасности Брайан Кребс связал администратора Kimwolf с 23‑летним жителем Оттавы, Канады, однако сам фигурант отрицает причастность, утверждая, что его прежний аккаунт могли взломать и использовать для подмены личности. Среди возможных участников также фигурирует 15‑летний подросток из Германии. На момент публикации информация об официальных задержаниях не раскрывается.
С юридической точки зрения текущая операция сфокусирована прежде всего на технической нейтрализации инфраструктуры: блокировке доменов, серверов управления и маршрутов трафика. Такой подход характерен для борьбы с ботнетами, когда идентификация и уголовное преследование операторов занимает существенно больше времени, чем техническое выведение сети из строя.
Риски для бизнеса и домашних пользователей интернета вещей
Гипер‑объёмные DDoS‑атаки мощностью в десятки терабит в секунду способны парализовать критическую интернет‑инфраструктуру, существенно ухудшать качество связи у провайдеров и их клиентов, а в отдельных случаях — перегружать даже крупные облачные платформы фильтрации трафика. Для компаний это оборачивается простоями сервисов, финансовыми потерями и репутационными рисками.
Для рядовых пользователей главная угроза — незаметное вовлечение домашних IoT‑устройств в ботнет. Смарт‑ТВ, ТВ‑приставки на Android, камеры и роутеры с заводскими паролями, не обновляемой прошивкой или нелегальным ПО становятся частью преступной инфраструктуры без ведома владельца, создавая нагрузку на канал связи и увеличивая поверхность атаки домашней сети.
Чтобы снизить риски, рекомендуется: менять стандартные учётные данные устройств, своевременно устанавливать обновления прошивки, отключать ненужные сетевые службы, сегментировать домашнюю и гостевую Wi‑Fi‑сети и по возможности выбирать оборудование известных производителей с политикой регулярных обновлений безопасности. Для организаций критичны внедрение систем DDoS‑защиты, мониторинг аномального трафика и работа с поставщиками облачных и сетевых сервисов, способных выдерживать атаки терабитного масштаба.
