Разпределените атаки за отказ на услуга (DDoS) са се превърнали в неприятна част от ежедневието в съвременния интернет, като ботнет мрежите от компрометирани устройства се разпространяват все по-широко. За съжаление, мащабът и честотата на тези атаки също се увеличават. Ботнетът Aisuru-Kimwolf наскоро счупи предишния си рекорд, достигайки 31,4 Tb/s през декември. За да го поставим в перспектива, това е достатъчна честотна лента, за да се стриймват едновременно почти 2,2 милиона 4K филма от Netflix.

Атака от такъв мащаб е достатъчна, за да извади от строя много интернет доставчици, ако не и цели държави. В публикация в блога си Cloudflare я нарича „безпрецедентна бомбардировка“, насочена срещу клиентите, таблото за управление и инфраструктурата на компанията. Компанията отбелязва, че тези атаки се извършват по принципа Hit and run (Удряй и бягай), като гигантски вълни от трафик удрят навсякъде едновременно и траят от няколко секунди до минути.

Cloudflare отбелязва също, че потенциалният мащаб на атаките се е увеличил 7 пъти за една година благодарение на разрастването на ботнет мрежите Aisuru и Kimwolf. Aisuru се счита за „родителската“ ботнет мрежа и включва малки устройства, свързани с интернет, като IoT оборудване, DVR и дори виртуални машини на хостинг услуги. Устройствата на Aisuru се намират предимно в САЩ. Ботнет мрежата се разраства, като получава достъп до нови устройства чрез стандартни идентификационни данни (например, потребителско име „admin“, парола „admin“) и остарял фърмуер, който съдържа известни уязвимости.

Що се отнася до Kimwolf, той може да се разглежда като вариант на Aisuru, но изрично насочен към устройства, базирани на Android: мобилни телефони с остарял софтуер или злонамерени приложения, смарт телевизори и декодери, между другото. Cloudflare твърди, че по-голямата част от двата милиона подчинени на Kimwolf живеят в Бразилия, Индия и Саудитска Арабия.

Операторите на ботнет мрежите имат интересна икономика, в която работят. Те продават достъп до ботнет мрежата на други киберпрестъпници, понякога на изненадващо ниски цени, за десетки хиляди долари. Наемателите след това използват ботнет мрежата, за да разпространяват своя зловреден софтуер, спам или каквато и да е друга злонамерена дейност, планирана за деня. Получените средства помагат за по-нататъшното разширяване на ботнет мрежата.

Cloudflare отбелязва, че мрежата Aisuru-Kimwolf е „паразитна“ и че нейните собственици отдават под наем "резидентни проксита": термин, който описва набор от устройства в жилищна среда, добавяйки слой анонимност, зад който атакуващите могат да се скрият.

От техническа гледна точка, UDP carpet-bombing е очевидно най-често използваната техника, която беше приложена и за атаката от 31,4 Tb през декември миналата година. Това означава разширяване на повърхността на атаката до такава степен, че да затрудни защитниците да я блокират. Cloudflare добавя, че комбинираната ботнет мрежа е атакувала и гейминг услуги с хипер-обемни HTTP атаки, изпращайки огромно количество легитимно изглеждащи заявки към онлайн услуги, които в крайна сметка претоварват мрежата или изчислителния капацитет на целта.

Снимка: Pexels

Виж още: Същество без мозък на 700 млн. години крие тайната за това как се оформя човешкото тяло