مایکروسافت روز دوشنبه اعلام کرد که به صورت خودکار یک حمله توزیعشده انکار سرویس (DDoS) را که یک نقطه در استرالیا را هدف قرار داده بود، شناسایی و خنثی کرده است. این حمله ۱۵.۷۲ ترابیت بر ثانیه (Tbps) و حدود ۳.۶۴ میلیارد پکت بر ثانیه (pps) حجم داشت.
غول فناوری گفت این بزرگترین حمله DDoS مشاهدهشده در فضای ابری تا به امروز بوده و منشأ آن یک باتنت اینترنت اشیا (IoT) از نوع TurboMirai با نام AISURU بوده است. هنوز مشخص نیست چه کسی هدف این حمله بوده است.
«این حمله شامل هجوم بیسابقه پکتهای UDP با نرخ بسیار بالا به یک آدرس IP عمومی مشخص بود. این حمله از بیش از ۵۰۰ هزار IP مختلف در مناطق گوناگون اجرا شد.» این را شان ویلِن از مایکروسافت اعلام کرد.
«این جهشهای ناگهانی UDP کمترین میزان جعل آدرس (spoofing) را داشتند و از پورتهای مبدأ تصادفی استفاده میکردند که همین موضوع ردگیری و اعمال قوانین از سمت ارائهدهندگان را سادهتر کرد.»
طبق دادههای آزمایشگاه XLab شرکت QiAnXin، باتنت AISURU توسط نزدیک به ۳۰۰ هزار دستگاه آلوده پشتیبانی میشود که بیشتر آنها روترها، دوربینهای امنیتی و سیستمهای DVR هستند. این باتنت در برخی از بزرگترین حملات DDoS ثبتشده تاکنون نقش داشته است. در گزارشی که ماه گذشته منتشر شد، NETSCOUT این باتنت DDoS-for-hire را بهعنوان یک سرویس با مشتریان محدود توصیف کرد.
«اپراتورها reportedly اقدامات پیشگیرانهای را اجرا کردهاند تا از حمله به اهداف دولتی، نیروهای قانون، ارتش و سایر نهادهای امنیت ملی جلوگیری کنند.» این شرکت گفت. «بیشتر حملات مشاهدهشده Aisuru تاکنون مربوط به حوزه بازیهای آنلاین بوده است.»
باتنتهایی مثل AISURU چندمنظوره هستند و فراتر از حملات DDoS بالای ۲۰ ترابیت بر ثانیه، در فعالیتهای مجرمانه دیگری مثل Credential Stuffing، وباسکرپینگ مبتنی بر هوش مصنوعی، اسپم و فیشینگ نیز استفاده میشوند. AISURU همچنین یک سرویس پروکسی مسکونی نیز ارائه میدهد.
مایکروسافت گفت: «مهاجمان در حال رشد همراه با خود اینترنت هستند. با افزایش سرعت اینترنت خانگی و قویتر شدن دستگاههای IoT، اندازه پایه برای حملات نیز دائماً در حال افزایش است.»
این افشاگری همزمان است با گزارش NETSCOUT درباره یک باتنت TurboMirai دیگر به نام Eleven11 (معروف به RapperBot) که تخمین زده میشود بین اواخر فوریه تا آگوست ۲۰۲۵ حدود ۳۶۰۰ حمله DDoS را با استفاده از دستگاههای IoT ربودهشده اجرا کرده است. این دوره زمانی همزمان با اعلام خبر دستگیری و برچیدن این باتنت است.
کیتهای ساخت CIS
برخی از سرورهای فرماندهی و کنترل (C2) مرتبط با این باتنت با دامنه سطح بالا “.libre” ثبت شدهاند؛ این دامنه بخشی از OpenNIC است، یک روت DNS جایگزین که مستقل از ICANN فعالیت میکند و توسط باتنتهای دیگر مثل CatDDoS و Fodcha نیز مورد استفاده قرار گرفته است.
«اگرچه احتمالاً این باتنت از کار افتاده است، اما دستگاههای آلوده همچنان آسیبپذیر باقی ماندهاند.» گزارش ادامه میدهد: «به احتمال زیاد تنها مسئله زمان است تا این میزبانها دوباره هک شوند و بهعنوان یک نود آلوده برای باتنت بعدی مورد استفاده قرار گیرند.»
یک نظر