Mirai-блокпост: ботнеты IoT усилили DDoS-угрозу
Появление и эволюция botnet на базе Mirai остаются одной из наиболее серьезных проблем в ландшафте угроз кибербезопасности. По состоянию на начало 2026 года активность таких botnet заметно выросла: в первом полугодии зафиксирован рост на 26%, а во втором — еще на 24%.
Основной причиной всплеска эксперты называют широкую доступность исходного кода Mirai, которая позволила появиться множеству производных botnet. Они активно эксплуатируют уязвимости в устройствах Интернета вещей (IoT), особенно там, где исправления выпускаются редко или применяются с большой задержкой.
Как Mirai находит жертвы
Mirai и его варианты используют несколько типовых сценариев первоначальной компрометации. Среди них:
- сканирование устройств, работающих на процессорах ARC;
- использование учетных данных по умолчанию;
- эксплуатация существующих уязвимостей для получения первичного доступа.
Такая модель делает botnet особенно опасными: они быстро масштабируются, а большое число IoT-устройств остается доступным для атаки из-за слабой политики обновлений и недостаточной защиты по умолчанию.
Новые варианты: Satori, Aisuru-Kimwolf и Kimwolf
Среди наиболее заметных производных семейства выделяется Satori, который известен способностью заражать более 260 000 маршрутизаторов. В частности, он использовал уязвимости command injection в таких устройствах, как D-Link DSL-2750B.
Особенность Satori заключается в применении скрипта, который выполняет несколько загрузок, ориентируясь на разные архитектуры процессоров. Это позволяет максимально расширять охват устройств и повышать эффективность заражения.
Отдельного внимания заслуживает Aisuru-Kimwolf — botnet, который демонстрирует масштаб современных DDoS-возможностей. По данным отчета, он связан с одними из крупнейших зарегистрированных DDoS-атак, включая:
- 31,4 Terabit per second;
- 14,1 миллиарда пакетов в секунду.
Чтобы усложнить анализ и обнаружение, Aisuru кодирует списки C&C IP-адресов в TXT-записях, связанных с его доменами. Такая схема маскирует инфраструктуру управления и затрудняет работу средств безопасности.
Kimwolf, рассматриваемый как подвариант Aisuru, нацелен прежде всего на устройства Android. Для распространения используются сети residential proxy, включая IPIDEA, которые помогают скрывать действия злоумышленников. По оценке отчета, жертвами Kimwolf стали около 2 миллионов устройств.
Переход к децентрализованным каналам
Под давлением на сети прокси и после демонтажа связанных доменов C&C злоумышленники, вероятно, начали переход к проекту Invisible. Эта децентрализованная зашифрованная коммуникационная сеть отражает новую тактику, направленную на уклонение от правоохранительных органов и сохранение operational security.
Иными словами, преступники не просто наращивают мощность botnet, но и активно усложняют их инфраструктуру, чтобы повысить устойчивость к блокировкам и расследованиям.
Ответ правоохранительных органов
Отчет также фиксирует действия правоохранительных органов по пресечению активности нескольких botnet, включая Aisuru, KimWolf, JackSkid и Mossad. Эти меры демонстрируют, что угроза признается системной и международной.
Однако полное уничтожение подобных сетей остается крайне сложной задачей. Botnet быстро перестраивают инфраструктуру, используют разные юрисдикции и опираются на многочисленные уязвимые IoT-устройства, которые продолжают оставаться доступными для компрометации.
Почему угроза сохранится
Ключевой вывод отчета заключается в том, что сочетание двух факторов — сохраняющихся уязвимостей в IoT и изобретательности злоумышленников — гарантирует дальнейшее развитие этой угрозы.
Для специалистов по кибербезопасности это означает необходимость постоянного мониторинга, быстрого реагирования и более жесткого подхода к защите IoT-инфраструктуры. На фоне роста активности Mirai-подобных botnet проблема в обозримом будущем останется одной из самых значимых в отрасли.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
