Правоохоронці США, Німеччини та Канади провели скоординовану операцію проти чотирьох найбільш агресивних IoT-ботнетів останніх років — Aisuru, Kimwolf, JackSkid та Mossad. Їхню керувальну інфраструктуру вивели з ладу, зірвавши масштабні DDoS-атаки на глобальні сервіси та навіть на елементи критичної мережі Міністерства оборони США (DoDIN).
Глобальна координація та роль технологічних гігантів
Операція проходила під керівництвом Міністерства юстиції США за підтримки правоохоронних органів Німеччини та Канади й спиралася на значний внесок приватного сектору. До розслідування були залучені фахівці Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud та інших ключових провайдерів інтернет-інфраструктури, що дозволило швидко ідентифікувати та відключити критичні вузли ботнетів.
За оцінкою Мін’юсту США, сукупно ці мережі зловмисників інфікували понад 3 мільйони IoT‑та суміжних пристроїв по всьому світу — від вебкамер і відеореєстраторів до домашніх Wi‑Fi‑роутерів. Сотні тисяч скомпрометованих девайсів розташовувалися в мережах на території США, що посилювало ризики для локальних операторів зв’язку, хмарних сервісів та державних структур.
Знищення C2‑інфраструктури та рекордні DDoS‑потужності
У межах операції були вилучені віртуальні сервери, доменні імена та інші компоненти, які використовувалися як сервери управління та контролю (C2). Саме через C2-інфраструктуру оператори ботнетів розсилали інфікованим пристроям команди на проведення сотень тисяч DDoS‑кампаній проти державних та комерційних цілей по всьому світу.
Судові документи показують, що ботнет Aisuru самостійно ініціював понад 200 000 DDoS‑команд. JackSkid відповідав більш ніж за 90 000 атак, Kimwolf — за понад 25 000, а Mossad — більш ніж за тисячу. Aisuru встановив декілька галузевих «анти-рекордів»: у грудні 2025 року він здійснив атаку потужністю 31,4 Тбіт/с і 200 млн HTTP‑запитів на секунду по телеком‑компаніях, встановивши новий максимум для DDoS. Попереднє досягнення — 29,7 Тбіт/с — також належало цьому ж ботнету.
Kimwolf: Android-наступник Aisuru та нова логіка масштабування ботнетів
Особливої уваги заслуговує ботнет Kimwolf, вперше детально описаний дослідниками XLab у грудні 2025 року. Він вразив мільйони пристроїв на базі Android — переважно недорогі смарт‑телевізори та ТВ‑приставки — і фактично став Android‑версією Aisuru. За словами віцепрезидента AWS Тома Шолла, Kimwolf кардинально змінив підхід до побудови та масштабування IoT‑ботнетів.
Резидентні проксі та маскування під легітимний трафік
На відміну від класичних ботнетів, які сканують інтернет у пошуках випадкових вразливих вузлів, Kimwolf активно використовував резидентні проксі‑мережі. Через уже інфіковані IoT‑девайси він «просочувався» у внутрішні домашні мережі та заражав нові пристрої, зберігаючи трафік максимально схожим на запити звичайних користувачів.
Для операторів та систем захисту від DDoS це створювало подвійний виклик: атаки надходили не з очевидних «підозрілих» дата-центрів, а з мільйонів реальних домашніх IP‑адрес. Блокування такого трафіку без шкоди для легітимних користувачів ставало суттєво складнішим, що підвищувало ефективність DDoS‑атак на рівні провайдерів.
Null-routing C2-серверів та експлуатація відкритого ADB
За даними Lumen Black Lotus Labs, у рамках операції майже тисячу керувальних серверів Aisuru та Kimwolf було відправлено в null‑route. Ця техніка передбачає «відведення» всього трафіку до певної IP‑адреси в «чорну діру», тобто його безумовне відкидання. У результаті шкідливий вузол ізолюється від мережі, не впливаючи на роботу легітимних сервісів.
Аналітики фіксували, що в перші два тижні березня 2026 року ботнет JackSkid щодня заражав у середньому понад 150 000 пристроїв, тоді як Mossad — більше ніж 100 000 пристроїв на добу. Обидві мережі, як і Kimwolf, експлуатували однакову слабкість у резидентних проксі‑провайдерів, пов’язану з пристроями з відкритим Android Debug Bridge (ADB). Якщо ADB залишено ввімкненим та доступним з інтернету, зловмисник отримує майже повний віддалений контроль над Android‑пристроєм — від встановлення шкідливого ПЗ до використання в складі ботнету.
Модель cybercrime-as-a-service та причетні особи
Оператори Aisuru, Kimwolf, JackSkid та Mossad монетизували свої мережі за моделлю cybercrime-as-a-service: надавали потужні DDoS‑атаки «на замовлення» іншим злочинним групам — за передплатою або разовою оплатою. У низці випадків вони переходили до відвертого шантажу, погрожуючи продовжити або повторити атаки, якщо жертва не сплатить викуп. Такий підхід знижує «поріг входу» в кіберзлочинність: навіть технічно малограмотні зловмисники можуть купити доступ до інфраструктури світового масштабу.
Ще взимку журналіст з інформаційної безпеки Брайан Кребс припустив, що можливим адміністратором Kimwolf є 23‑річний мешканець Оттави Джейкоб Батлер (Jacob Butler, псевдонім Dort), а другим фігурантом може бути 15‑річний підліток із Німеччини. Сам Батлер публічно заперечував причетність до поточної активності під ніком Dort, стверджуючи, що його старий акаунт скомпрометували. На момент публікації офіційні структури не повідомляли про арешти чи висунуті обвинувачення, тож згадані імена залишаються гіпотезами журналістського розслідування.
Ризики для інтернет-інфраструктури та практичні рекомендації
За оцінкою Akamai, подібні сверхпотужні DDoS‑кампанії здатні серйозно порушити роботу базової інтернет‑інфраструктури, погіршити якість послуг у провайдерів і створити додаткове навантаження навіть для спеціалізованих хмарних сервісів захисту від DDoS. Кожен незахищений роутер, смарт‑камера або ТВ‑приставка перетворюється на умовний «мікровузол» глобальної зброї, спрямованої проти бізнесу та державних систем.
Відключення інфраструктури Aisuru, Kimwolf, JackSkid і Mossad — важливий крок, але не остаточне вирішення проблеми кібератак на IoT‑екосистему. Виробникам варто мінімізувати використання небезпечних сервісів за замовчуванням (зокрема відкритого ADB), запроваджувати автоматичні оновлення та безпечні стандартні налаштування. Організаціям критично важливо розгортати багаторівневий захист від DDoS‑атак, сегментувати мережі, впроваджувати безперервний моніторинг аномалій трафіку та активно співпрацювати з провайдерами й профільними компаніями у сфері кіберзахисту.
Для пересічних користувачів та малих бізнесів базовий рівень кібергігієни може суттєво знизити ризики: змінювати стандартні паролі на роутерах і камерах, регулярно оновлювати прошивки, вимикати віддалений доступ та відладочні інтерфейси на кшталт ADB, якщо вони не використовуються. Масштаб виявлених IoT‑ботнетів демонструє, що кожен один незахищений девайс здатен стати частиною глобальної атаки. Чим раніше буде вибудувана системна безпека на побутовому та корпоративному рівнях, тим складніше зловмисникам буде збирати нові «армії» підключених пристроїв для рекордних DDoS‑кампаній.
