Sió-Informatika Rendszerház

HÍREK

Microsoft Azure visszaver egy példátlan, 15,72 Tbps-os DDoS-támadást az Aisuru IoT botnet ellen

Microsoft Azure Aisuru DDoS támadás

🌊 15,72 Tbps – minden eddiginél nagyobb roham egyetlen IP ellen

  1. október 24-én a Microsoft Azure – a Microsoft felhőszolgáltatási platformja – példátlan méretű DDoS-támadás célpontjává vált:
  • 15,72 terabit/másodperc (Tbps) adatforgalom,
  • közel 3,64 milliárd csomag/másodperc (pps),
  • egy Ausztráliában hosztolt nyilvános IP-cím ellen.

A Microsoft megerősítette, hogy a támadást az Aisuru nevű botnet hajtotta végre – egy gyorsan fejlődő, úgynevezett „Turbo Mirai” osztályú IoT-botnet, amely tömegesen fertőzött Internet of Things (IoT) eszközöket használ.

A támadás főbb jellemzői

A Microsoft beszámolója szerint a DDoS-roham:

  • 500 000+ egyedi forrás IP-címet használt,
  • nagy sebességű UDP flood formájában érkezett,
  • szinte egyáltalán nem élt IP-cím hamisítással (spoofing),
  • randomizált forrásportokat használt – ami ironikus módon megkönnyítette a nyomkövetést a hálózati szolgáltatóknak.

Az Azure globális DDoS-védelmi infrastruktúrája automatikusan életbe lépett: a forgalmat elterelte, szűrte és lenyelte, így a Microsoft szerint az ügyfél munkaterhelései nem érzékeltek szolgáltatás-kiesést.

🤖 Mi az Aisuru, és honnan jött?

Az Aisuru botnet az új generációs, IoT-alapú támadóplatformok közé tartozik. A Netscout szerint „Turbo Mirai” osztályú botnet, vagyis a híres Mirai kódjára épül, de:

  • jóval nagyobb sávszélességet,
  • és extrém packet throughputot képes produkálni.
Aisuru fő jellemzői
  • Elsősorban lakossági, gyenge védelmű eszközöket fertőz:
    • otthoni routerek,
    • IP-kamerák,
    • DVR/NVR rendszerek.
  • 2025 elején ugrásszerűen bővült, amikor:
    • egy routergyártó (TotoLink) kompromittálódott firmware-frissítőszerverén keresztül
    • ~100 000 új eszközt sikerült a botnetbe vonni.
  • Sok, klasszikus botnettel ellentétben az Aisuru nem elsősorban IP-spoofingra és reflektált/amplifikált támadásokra támaszkodik, hanem:
    • közvetlen útvonalú (direct path) forgalmat generál az infekcióban lévő IoT-eszközökről,
    • vagyis a forrás IP-k valósak, ami elvileg megkönnyíti a fertőzött eszközök és hálózatok azonosítását.

Egyszerűen fogalmazva:
maguk az IoT-eszközök válnak „ágyúcsövekké”, és közvetlenül lövik a célpontot, nem pedig más szerverek/reflectorok mögé bújva.

📈 Túl az Azure-incidensen – az Aisuru növekvő ereje

Az Azure elleni támadás csak a leglátványosabb epizód, de korántsem az egyetlen.

A közelmúltban:

  • 2025 szeptemberében a kínai Qi’anxin XLab egy
    11,5 Tbps-os DDoS-t tulajdonította Aisurunak – akkor kb. 300 000 aktív botot becsültek.
  • Októberben amerikai internetszolgáltatók
    29,6 Tbps-ig csúcsosodó kimenő forgalom-tüskéket regisztráltak Aisuru-fertőzött eszközökből.
  • A Netscout októberi összefoglalója szerint az Aisuru-hoz hasonló botnetek:
    • 20 Tbps feletti és 4 milliárd pps fölötti támadásokat indítanak,
    • és line card hibákat, router-hardver meghibásodásokat okoznak.

Ez nemcsak a botnet méretének növekedését jelzi, hanem:

  • technikai kifinomultságát,
  • valamint az ISP-k és hálózatüzemeltetők saját infrastruktúrájára jelentett kockázat emelkedését is.

☁️ Mit jelent mindez a felhő és a kiberbiztonság szempontjából?

1. A felhőszolgáltatók frontvonalban vannak

Az Azure elleni roham világossá teszi:

  • a nagy felhőplatformok is elsődleges célpontokká váltak,
  • a volumetrikus DDoS támadások mérete pedig minden eddigi rekordot megdönt.

Az, hogy egy darab nyilvános IP-címet céloztak, rámutat:
egyetlen endpoint is képes több tíz Tbps nagyságrendű támadást magára húzni.

2. Az IoT-perem (edge) továbbra is kritikus gyenge pont

Aisuru ereje abból fakad, hogy:

  • rosszul védett, lakossági IoT-eszközök ezreit irányítja,
  • melyeket gyakran:
    • alapértelmezett jelszóval használnak,
    • ritkán frissítenek,
    • vagy soha nem menedzselnek tudatosan.

Minden egyes ilyen eszköz potenciális „tűzhely” egy több-terabites támadáshoz.

3. Az outbound fenyegetés – amikor tőlünk támadnak másokat

Az Aisuru botjai ISP-hálózatok belsejében ülnek:

  • onnan generálnak kifelé támadó forgalmat,
  • ami nemcsak a célpontot, hanem az adott ISP más ügyfeleit is érintheti
    (sávszélesség terhelés, késleltetés, eszközterhelés).
4. A védekezés stratégiája is változni kénytelen

Aisuru megmutatja, hogy a DDoS-védelem:

  • nem állhat meg a forgalom „elnyelésénél”,
  • szükség van:
    • traceback-re (források visszakövetése),
    • fertőzött eszközök remediációjára,
    • edge-szintű szűrésre,
    • szoros együttműködésre az ISP-kkel.

A Netscout kiemeli: mivel a forgalom nem spoofolt,
a védekezőknek több tere van cselekedni – de csak akkor, ha gyorsan lépnek.

5. A DDoS „új normalitása”: 10+ Tbps mint alap

A korábban extrémnek számító 5–10 Tbps-os támadások mára:

  • „középmezőnynek” tekinthetők.
    Az Azure elleni 15,72 Tbps egy mérföldkő, de várhatóan hamarosan „rutinná” válik ebben a fegyverkezési versenyben.

💰 Aisuru üzleti modellje: DDoS-for-hire és „residential proxy” szolgáltatás

Az Aisuru klasszikus DDoS-for-hire (DDoS bérlés) platformként indult:

  • kompromittált eszközhálózat,
  • amelyet ügyfelek bérelhetnek, hogy harmadik feleket támadjanak.

A Netscout szerint az Aisuru:

  • „korlátozott ügyfélkörrel működő DDoS-for-hire szolgáltatás”,
  • amely multi-Tbps és 4+ Gpps támadásokra képes.
Új irány: „residential proxy” szolgáltatás

A friss kutatások szerint az Aisuru operátorai rájöttek, hogy:

  • a botnet rezidens proxy-hálózatként is jól monetizálható:
    • a fertőzött IoT-eszközök kilépési pontként (exit node-ként) szolgálnak,
    • így a fizető ügyfelek forgalma valós lakossági IP-címek mögül jelenik meg.

Brian Krebs beszámolója szerint:

„Az Aisuru irányítói nemrég frissítették a malware-t, hogy a kompromittált eszközöket könnyebben lehessen bérbe adni ‘residential proxy’ szolgáltatóknak… Ez az elmozdulás fenntarthatóbb, visszatérő bevételi forrást kínál (proxy-bérlet), mint az egyszeri DDoS-támadások.”

Ez a modell:

  • kevésbé feltűnő,
  • hosszabb távon jövedelmezőbb,
  • és jobban beépül a szürke/fekete online gazdaságba.

🛠 Hogyan épül fel és működik az Aisuru botnet?

Fertőzés & toborzás

A botnet „készlete” az alábbiakból áll össze:

  • IoT-eszközök (routerek, DVR-ek, IP-kamerák, stb.)
  • fertőzési vektorok:
    • ismert vagy 0-day sérülékenységek kihasználása,
    • alapértelmezett/gyenge jelszavak,
    • kompromittált firmware-frissítési csatornák.

Példa:
Az XLab szerint egy routergyártó fertőzött update-szervere ~100 000 új IoT-eszközt terelt be a botnetbe egyetlen hullámban.

C2 infrastruktúra és vezérlés

Az Aisuru/AIRASHI C2 (Command & Control) hálózata:

  • globálisan elosztott, több országban és AS-ben fut,
  • egyedi, titkosított kommunikációs protokollt használ (pl. ChaCha20, HMAC),
  • különböző üzenettípusokat kezel:
    • attack – DDoS-parancs,
    • proxy – proxy-mód aktiválása,
    • execute.cmd – tetszőleges parancs futtatása,
    • „report telnet scan”, „netspeed” – telemetria és karbantartás.

A XLab vizsgálata szerint egy variáns 19 ország 10 AS-ében
144 IP-címhez tartozó C2 domaint használt.

A szétszórt és dinamikus C2 célja:

  • takedown és sinkhole-akciók megnehezítése,
  • gyors alkalmazkodás (új domainek, új IP-k).
Működési lánc – lépésről lépésre
  1. Fertőzés – IoT-eszköz kompromittálása.
  2. Kapcsolatfelvétel – a bot „hazatelefonál” a C2-szerverre.
  3. Parancs fogadása – DDoS-támadás indítása / proxy mód / update / „cleaner” stb.
  4. Végrehajtás
    • DDoS esetén: nagy volumenű UDP/TCP forgalom,
    • proxy esetén: a node mások forgalmát továbbítja.
  5. Jelentés és karbantartás – telemetria, netspeed, új célpontok, új C2-k.
  6. Fejlesztés és variánsok – új verziók, új exploitok, új üzleti funkciók.

🧩 Mit jelent mindez a védekezők számára?

Fő kockázatok és tanulságok
  • A residential proxy modell miatt:
    • a botnet tartósabb, pénzügyileg stabilabb lesz,
    • nehezebb megkülönböztetni a „valódi” felhasználót az álcázott forgalomtól.
  • A védekezésnek két irányba kell működnie:
    • inbound – mikor minket támadnak,
    • outbound – mikor a mi hálózatunkból indul támadás mások ellen.
  • A C2-k elleni küzdelemhez:
    • szolgáltatók közötti intelligence-megosztás szükséges,
    • közös listák C2 domainekről és IP-kről,
    • összehangolt sinkhole- és takedown-akciók.
  • Az IoT-eszközök továbbra is kritikus sebezhetőségi pontok:
    • alapvető patch-menedszment,
    • jelszó-higiénia,
    • tudatos eszközválasztás és konfiguráció szükséges.
  • Vállalatok és felhőszolgáltatók oldalán:
    • terabites nagyságrendű támadásokra tervezett DDoS-architektúra,
    • szétszórt, edge-közeli szűrés,
    • nagy kapacitású „scrubbing” központok.

🔚 Konklúzió

Az Azure elleni 15,72 Tbps-os DDoS-incidens mérföldkő a DDoS-védelem történetében:

  • megmutatta, hogy:
    • milyen méretű tüzet képesek zúdítani ránk IoT-botnetek,
    • és hogy egy hiperskálázott felhő is csak akkor állja a sarat, ha a védelem
      globális, automatizált és folyamatosan fejlesztett.

Ugyanakkor rávilágít arra is, hogy:

Az IoT nem csak kényelmi eszközök halmaza – hanem egyben potenciális, globális fegyverrendszer is.

A felhőszolgáltatók, ISP-k, vállalatok és eszközgyártók számára az üzenet egyértelmű:

  • a védekezési peremet ki kell tolni a végfelhasználói eszközökig,
  • beleértve az otthoni routereket, kamerákat, DVR-eket,
  • és mindezt stratégiai, nem csupán technikai kérdésként kell kezelni.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!