Хмарна платформа Microsoft Azure опинилася в центрі однієї з найпотужніших DDoS-кампаній останніх років. За офіційними даними, атака досягла пікової інтенсивності близько 15,72 Тбіт/с, а шкідливий трафік надходив одночасно з приблизно 500 000 унікальних IP-адрес. За операцією стояв відомий фахівцям із кібербезпеки ботнет Aisuru, що належить до сімейства Turbo Mirai і базується на масовому зараженні IoT-пристроїв.
DDoS-атака на Microsoft Azure: масштаб, техніка та наслідки
За інформацією Microsoft, зловмисники здійснили масований UDP-flood проти одного публічного IP-адресу в інфраструктурі Azure, розташованого в Австралії. У піковий момент система фіксувала до 3,64 млрд пакетів за секунду (pps), що фактично рівнозначно спробі «паралізувати» мережеві ресурси мільярдами дрібних запитів одночасно.
Ключова особливість цієї DDoS-атаки полягала в тому, що практично не застосовувався spoofing IP-адрес (підміна адреси відправника). Трафік надходив із реальних, не сфальшованих IP-адрес і спрямовувався на випадкові порти цільового вузла. Такий підхід ускладнює виявлення за простими сигнатурами, адже пакети не мають однорідного «відбитка». Водночас відсутність підміни джерел істотно полегшує провайдерам та операторам інфраструктури ідентифікацію вузлів-учасників атаки та подальше впровадження фільтрації чи блокування на рівні мереж.
Поєднання надвисокої пропускної здатності (Тбіт/с) та рекордної кількості пакетів за секунду (pps) свідчить, що Aisuru орієнтується як на перевантаження каналів зв’язку, так і на виснаження мережевого та серверного стека жертви. Для інфраструктур без розподіленого захисту від DDoS подібні навантаження практично гарантують відмову сервісів.
Ботнет Aisuru: еволюція IoT-ботнетів сімейства Turbo Mirai
Ботнет Aisuru класифікують як IoT-ботнет класу Turbo Mirai, що спеціалізується на надінтенсивних DDoS-атаках. До його складу входять переважно скомпрометовані домашні маршрутизатори, IP-камери, DVR/NVR-системи та інші «розумні» пристрої, які зазвичай мають слабкий захист і рідко оновлюються користувачами.
Попередні дослідження показують, що Aisuru активно експлуатує відомі вразливості в мережевому та IoT-обладнанні. Серед цільових пристроїв фігурують продукти Totolink, T-Mobile, Zyxel, D-Link, Linksys, низка моделей IP-камер, а також рішення на базі чипів Realtek. Окремо відзначається компрометація сервера оновлень маршрутизаторів Totolink, після чого було зафіксовано різке збільшення кількості заражених вузлів у ботнеті.
Чому IoT-пристрої стали ідеальною базою для DDoS
Більшість побутових IoT-пристроїв постачається із заводськими паролями, відкритими сервісами віддаленого доступу та застарілою прошивкою. Користувачі рідко змінюють налаштування безпеки, а виробники не завжди вчасно випускають оновлення. У поєднанні з глобальною доступністю таких пристроїв через Інтернет це створює ідеальне середовище для масштабних ботнетів на кшталт Aisuru.
Рекордні DDoS-атаки Aisuru: Microsoft Azure, Cloudflare та Qianxin Xlab
Інцидент із Microsoft Azure — не поодинокий випадок, коли Aisuru демонструє рекордні показники. У вересні 2025 року компанія Cloudflare повідомила про відбиття ще потужнішої DDoS-атаки цього ж ботнета з піковою інтенсивністю близько 22,2 Тбіт/с та швидкістю до 10,6 млрд пакетів за секунду. Хоча пікове навантаження тривало близько 40 секунд, цього цілком достатньо, щоб вивести з ладу сервіси без розвинених механізмів протидії DDoS.
Ще раніше дослідницька команда Qianxin Xlab зафіксувала іншу атаку Aisuru потужністю близько 11,5 Тбіт/с. Тоді експерти оцінили розмір ботнету більш ніж у 300 000 скомпрометованих IoT-пристроїв по всьому світу, при цьому значна частина вузлів розташовувалася в мережах великих інтернет-провайдерів США та інших країн.
Не лише DDoS: спроба маніпулювання рейтингами доменів Cloudflare
Оператори Aisuru використовують ботнет не тільки для перевантаження мережевої інфраструктури. За публічно доступними даними, вони намагалися маніпулювати DNS-статистикою Cloudflare, зокрема рейтингом Cloudflare Top Domains, який формується на основі обсягу DNS-запитів до популярних доменів.
Контрольовані зловмисниками домени штучно виводились у верхні позиції рейтингу та почали випереджати за кількістю запитів ресурси рівня Amazon, Microsoft та Google. Це стало можливим завдяки генерації гігантських обсягів DNS-трафіку до публічного резолвера 1.1.1.1. Таким чином рейтинг популярності доменів фактично перетворювався на індикатор активності шкідливої інфраструктури, а не реальних користувацьких запитів.
У Cloudflare підтвердили, що активність Aisuru суттєво спотворювала результати ранжування. У відповідь компанія запровадила додаткові фільтри: підозрілі домени тепер коригуються або повністю виключаються з публічного списку, щоб мінімізувати вплив ботнет-трафіку на аналітику.
Історія з Aisuru демонструє, що масовий злам IoT-пристроїв вже є не лише інструментом DDoS-атак, а й засобом впливу на аналітичні сервіси та метрики довіри в Інтернеті. Щоб не стати частиною подібних ботнетів, користувачам і організаціям варто регулярно оновлювати прошивки маршрутизаторів та IP-камер, змінювати заводські паролі, вимикати непотрібний віддалений доступ і застосовувати сегментацію мережі для ізоляції «розумних» пристроїв. Провайдерам і власникам онлайн-сервісів критично важливо інвестувати в багаторівневий захист від DDoS, постійний моніторинг аномалій трафіку та співпрацю з глобальними анти-DDoS-платформами — це суттєво знижує ризик того, що наступний «рекорд» ботнета буде встановлено за рахунок їхньої інфраструктури.
