СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.11.2025
#ИБ#Инфра#Облака

Aisuru — ботнет класса Mirai: DDoS свыше 20 Тб/сек

В октябре 2025 года ботнет Aisuru, производный от класса Mirai, продемонстрировал одну из самых мощных серий атак последних лет, нацеленных преимущественно на платформы онлайн‑игр. Скорость пиковых атак превысила 20 терабит в секунду (Тб/сек) и 4 миллиона пакетов в секунду (gpps), что подчеркнуло серьёзный уровень угрозы для как отдельных сервисов, так и для инфраструктуры интернет‑провайдеров.

Что произошло

Aisuru действовал как сервис DDoS‑for‑hire, реализуя крупномасштабные распределённые атаки «отказ в обслуживании». Главные факты:

  • Атаки нацелены в первую очередь на онлайн‑игровые платформы и связанные сервисы.
  • Пиковая пропускная способность превышала 20 Тб/сек и 4 миллиона pps (gpps).
  • Интернет‑провайдеры зафиксировали серьёзные сбои, вызванные исходящими DDoS‑атаками от скомпрометированного клиентского оборудования (CPE), при этом трафик исходящих атак превышал 1,5 Тб/сек.

Методы и поведение ботнета

Aisuru применяет набор прямых флоуд‑методов, характерных для семейства Mirai, но с рядом особенностей:

  • Наводнения по прямому пути с использованием пакетов UDP, TCP и GRE.
  • Преобладают пакеты среднего размера — от 540 до 750 байт.
  • Используются псевдослучайные номера портов и вариативные TCP‑флаги.
  • В отличие от некоторых ботнетов, Aisuru не генерирует поддельный (spoofed) трафик, что облегчает отслеживание источника атак по данным абонента.

Чем Aisuru отличается от других: эволюция TurboMirai

Aisuru эволюционировал по сравнению с представителями категории TurboMirai. Помимо мощных возможностей для DDoS‑операций, ботнет обладает дополнительными модулями для других вредоносных действий, включая:

  • подстановку украденных учётных данных (credential stuffing и аналогичные техники);
  • «очистку» (tampering) веб‑страниц и вмешательство в веб‑контент.

Тем не менее наблюдаемые операции Aisuru в основном остаются атаками по прямому пути, с ограниченным участием в сложных многовекторных кампаниях — в таких случаях злоумышленники часто комбинируют Aisuru с другими сервисами DDoS‑for‑hire для усиления эффекта.

Влияние на провайдеров и риски

Критическая особенность Aisuru — активное использование скомпрометированного CPE. Это приводит к двум опасным сценариям:

  • исходящие атаки, перегружающие периметр сети провайдеров и вызывающие локальные и глобальные сбои (зафиксировано >1,5 Тб/сек исходящего трафика);
  • возможность быстро масштабировать атаки против внешних целей за счёт ресурсов подписчиков провайдера.

Рекомендации по защите

Для организаций и операторов, находящихся в зоне повышенного риска, необходимы упреждающие и комплексные меры. Ключевые рекомендации:

  • внедрить интеллектуальные системы предотвращения DDoS, которые учитывают и управляют как входящим, так и исходящим трафиком;
  • приоритизировать контроль исходящего трафика на границе сети — блокировать подозрительные потоки с CPE, применять rate‑limiting и аномальную фильтрацию;
  • использовать комплексный инструментарием на периметре сети: ACL, stateful‑фильтрацию, IACL для инфраструктурных сегментов;
  • разделять внутренний трафик сотрудников и трафик общедоступных сервисов, минимизируя риск латерального перемещения и распространения заражений;
  • комбинировать локальные меры и облачные/партнёрские решения для масштабного смягчения атак;
  • внедрять надёжное обнаружение и классификацию DDoS на периферийных устройствах (edge detection), чтобы своевременно реагировать как на одновекторные, так и на многовекторные сценарии;
  • установить процедуры координации с upstream‑провайдерами и правообладателями инфраструктуры для быстрой фильтрации трафика при инцидентах.

«Aisuru демонстрирует, что даже производные Mirai‑семейств остаются эволюционирующей и нацеленной угрозой: акцент на исходящем трафике делает операторам провайдерской сети защиту своих абонентов критическим приоритетом», — констатируют специалисты по кибербезопасности.

Практические шаги для операторов и крупных сервисов

  • регулярно проверять и жёстко конфигурировать CPE по умолчанию (смена паролей, отключение ненужных сервисов, обновления прошивок);
  • внедрять мониторинг аномалий по объёму и профилю пакетов (например, увеличение трафика 540–750 байт с непредсказуемыми портами);
  • планировать стресс‑тесты и сценарии реагирования, моделируя как прямые флууды UDP/TCP/GRE, так и комбинированные атаки;
  • обучать команды инцидент‑реагирования процедурам по идентификации и изоляции заражённых абонентских устройств.

Вывод

Aisuru — это не просто очередной Mirai‑производный: ботнет сочетает в себе масштабируемость DDoS‑возможностей и расширенный набор вредоносных модулей, что делает его серьёзной угрозой для игровых сервисов и интернет‑операторов. Основная уязвимость — скомпрометированное CPE и отсутствие подделывания исходных адресов — превращает проблему в управляемую сетевая задачу: при правильной архитектуре защиты и координации между операторами можно существенно снизить риски и минимизировать последствия атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: