Распределенные DDoS-атаки уже давно перестали быть редкостью: вместе с ними стремительно множатся и ботнеты, которые собираются из взломанных устройств. Причем растут не только количество инцидентов, но и их «вес». Так, связка Aisuru-Kimwolf недавно обновила собственный максимум: в декабре зафиксирован поток в 31,4 Тбит/с. Для понимания масштаба, такой канал теоретически позволил бы параллельно крутить почти 2,2 миллиона 4K-фильмов на Netflix.
Подобная мощность способна без особого труда «положить» многих провайдеров, а в отдельных сценариях создать проблемы и на уровне целых государств. В Cloudflare описывают происходящее как беспрецедентную бомбардировку клиентов, панели управления и собственной инфраструктуры. При этом злоумышленники действуют по схеме «ударил и исчез»: трафик обрушивается сразу по широкому фронту и держится от нескольких секунд до пары минут, после чего атака прекращается.
Компания подчеркивает, что всего за год потенциальный размах вырос примерно в семь раз, и ключевая причина — расширение ботнетов Aisuru и Kimwolf. Aisuru называют «родительской» сетью: в нее входят IoT-устройства, видеорегистраторы и даже виртуальные машины на хостингах. Сообщается, что значительная часть таких узлов находится в США. Пополнение идет за счет банальных вещей: стандартных логинов и паролей вроде admin/admin и старых прошивок с давно известными уязвимостями.
Kimwolf, в свою очередь, можно считать ответвлением, но с явным уклоном в Android. Речь о телефонах с устаревшим ПО или вредоносными приложениями, а также о смарт-ТВ и приставках. По данным Cloudflare, основная масса из примерно двух миллионов «миньонов» Kimwolf сосредоточена в Бразилии, Индии и Саудовской Аравии.
Экономика у операторов проста: доступ к ботнету сдают другим преступникам, иногда за десятки тысяч долларов. Арендаторы используют мощности для рассылки спама, распространения вредоносов и прочих задач, а выручка помогает еще сильнее раздувать сеть. Отдельно отмечается «паразитическая» модель с арендой так называемых жилых прокси, когда трафик идет через домашние устройства, добавляя злоумышленникам анонимности.
Если говорить о технике, чаще всего применяется «ковровая» UDP-бомбардировка — именно так и был достигнут декабрьский показатель 31,4 Тбит/с. Зона удара получается настолько широкой, что ее сложно быстро отсечь. Кроме того, объединенный ботнет атакует игровые сервисы сверхобъемными HTTP-запросами: внешне они выглядят легитимно, но в итоге забивают сеть или вычислительные ресурсы цели (фото: tomshardware.com).
