У ніч з 18 на 19 грудня 2025 року було зафіксовано одну з найпотужніших DDoS-атак за весь час спостережень: ботнет Aisuru (також відомий як Kimwolf) розгорнув кампанію з піковою пропускною спроможністю близько 31,4 Тбіт/с і до 200 млн HTTP-запитів за секунду. Основними цілями стали телекомунікаційні оператори, ІТ-компанії та інфраструктура провайдера захисту від DDoS-атак Cloudflare.
Еволюція ботнету Aisuru та нарощування потужності DDoS-атак
Ботнет Aisuru вже не вперше фігурує у звітах як один із найнебезпечніших інструментів для проведення масштабних DDoS-кампаній. За ним раніше був зафіксований публічний рекорд близько 29,7 Тбіт/с, а також пов’язана з ним атака потужністю 15,72 Тбіт/с, яку Microsoft приписувала мережі з понад 500 000 унікальних IP-адрес.
Поточний інцидент демонструє, що оператори ботнету не лише зберегли інфраструктуру, а й суттєво її масштабували. Зростання з 29,7 до 31,4 Тбіт/с у поєднанні з надвисокою інтенсивністю HTTP-запитів вказує на активне поповнення ботнету новими скомпрометованими вузлами та оптимізацію механізмів генерації трафіку.
Кампанія «Ніч перед Різдвом»: мішені та тактика нападників
У Cloudflare цю DDoS-кампанію описують як масштабну, добре скоординовану операцію проти телеком-провайдерів, хмарних сервісів та IT-платформ. Через час старту атак всередині компанії її умовно назвали «Ніч перед Різдвом».
Особливістю інциденту стало те, що тиск здійснювався одночасно на клієнтів Cloudflare та її власну керуючу інфраструктуру. Такий підхід покликаний перевантажити як сервіси захисту, так і ресурси, які вони обороняють, руйнуючи одразу кілька ліній оборони.
За даними Cloudflare, більшість DDoS-атак були короткочасними, але надзвичайно піковими. Понад половина епізодів тривали 1–2 хвилини, лише близько 6% — довше. При цьому близько 90% атак досягали 1–5 Тбіт/с за обсягом трафіку, а приблизно 94% генерували 1–5 млрд пакетів за секунду. Така тактика «серії коротких ударів» ускладнює виявлення та фільтрацію для організацій, які покладаються на ручне втручання замість повністю автоматизованого захисту від DDoS.
Технічний аналіз: HTTP DDoS та атаки рівня 4
Кампанія поєднувала глобальні HTTP DDoS-атаки на рівні застосунків (L7) та атаки рівня 4 (L4), спрямовані на мережеву інфраструктуру. HTTP DDoS передбачає лавиноподібний потік на перший погляд коректних веб-запитів, які в сукупності вичерпують обчислювальні ресурси веб-серверів та API, роблячи сервіси недоступними для легітимних користувачів.
L4-атаки працюють на транспортному рівні (TCP/UDP) і орієнтовані на перевантаження каналів зв’язку та мережевого обладнання. При пікових 31,4 Тбіт/с страждають не лише цільові застосунки, а й проміжна магістральна інфраструктура провайдера, що може спричинити каскадні відмови.
Комбінація L4- та HTTP DDoS дає змогу атакувальникам впливати одночасно на різні шари мережевого стека: спершу виснажуються канали, потім – прикладні сервіси. Для ефективної протидії потрібна багаторівнева архітектура захисту від DDoS, яка включає фільтрацію трафіку у провайдера (upstream), периметрові засоби на боці компанії та хмарні DDoS-сервіси.
Від IoT до Android TV: новий профіль ботнету Aisuru
Раніше Aisuru переважно асоціювали з мережею, побудованою з компрометованих IoT-пристроїв та домашніх маршрутизаторів. У кампанії «Ніч перед Різдвом» дослідники помітили суттєву зміну складу ботнету: значна частина шкідливого трафіку надходила від пристроїв на базі Android TV.
Смарт-телевізори та медіаприставки логічно вписуються у цю модель загроз: вони зазвичай постійно підключені до інтернету, рідко оновлюються користувачами, мають стандартні налаштування та слабкі паролі за замовчуванням. У поєднанні з відносно потужними процесорами та якісним мережевим підключенням це робить Android TV-пристрої ефективними генераторами DDoS-трафіку й привабливою ціллю для масового зараження.
Як підготуватися до DDoS-атак потужністю 30+ Тбіт/с
Інцидент із ботнетом Aisuru показує, що класичних міжмережевих екранів і поодиноких апаратних рішень вже недостатньо. Організаціям у телеком-, фінансовому, e-commerce та онлайн-секторах варто розглядати захист від DDoS як безперервний процес управління ризиками.
Ключові елементи сучасної стратегії захисту від DDoS
По-перше, необхідна тісна інтеграція з операторами зв’язку: погоджені процедури upstream-фільтрації трафіку ще до входу в мережу компанії зменшують навантаження на власну інфраструктуру.
По-друге, слід використовувати спеціалізовані хмарні DDoS-сервіси, які забезпечують багаторівневу фільтрацію на L3/L4 та L7, автоматичне виявлення аномалій та динамічне переключення режимів захисту.
По-третє, варто регулярно проводити тестування готовності до DDoS: навчання персоналу, моделювання атак із зовнішніми провайдерами, перевірку SLA та часу реагування. Доповнює картину інвентаризація та захист IoT і smart-пристроїв у мережі: зміна паролів за замовчуванням, актуалізація прошивок, сегментація критичних зон.
Сучасні DDoS-атаки, які досягають десятків терабіт за секунду та використовують масові ботнети з IoT- і Android TV-пристроїв, перестали бути поодинокими інцидентами. Для бізнесу, де безперервна доступність онлайн-сервісів критична, захист від DDoS має стати постійною інвестицією у стійкість інфраструктури, культуру безпеки та навчання команд. Чим раніше буде впроваджена багаторівнева оборона, тим нижчий ризик того, що наступна «ніч перед Різдвом» пройде за рахунок вашої мережі та репутації.
