Координиран удар срещу Aisuru, KimWolf, JackSkid и Mossad променя динамиката на глобалните заплахи

Международни правоохранителни органи от САЩ, Германия и Канада проведоха координирана операция, довела до неутрализирането на ключова Command and Control (C2) инфраструктура, използвана от четири от най-активните IoT ботнета в момента – Aisuru, KimWolf, JackSkid и Mossad.

Масирана инфраструктура зад глобални DDoS кампании

Операцията е насочена не само към C2 сървърите, но и към виртуални сървъри, интернет домейни и други критични елементи, които позволяват на тези ботнети да функционират и да координират атаки.

Анализът на разследващите показва, че в рамките на последните месеци тези мрежи са използвани за стотици хиляди Distributed Denial of Service (DDoS) атаки срещу цели по целия свят, включително инфраструктура, свързана с Министерството на отбраната на САЩ.

Особено показателен е случаят с ботнета Aisuru, който през декември поставя нов рекорд с атака, достигнала:

• 31.4 Tbps пикова мощност
• 200 милиона заявки в секунда

Тази кампания е част от по-широка вълна от атаки, насочени основно към компании от телекомуникационния сектор.

Ескалация на DDoS заплахите и индустриализация на атаките

Aisuru не е изолиран случай. Предходни инциденти, свързани със същата инфраструктура, включват:

• 29.7 Tbps DDoS атака
• 15.72 Tbps атака, генерирана от приблизително 500 000 IP адреса

Тези стойности ясно показват нова фаза в еволюцията на DDoS заплахите, при която мащабът и автоматизацията достигат индустриално ниво.

Съдебни документи разкриват обхвата на активността:

• Aisuru – над 200 000 команди за атаки
• KimWolf – над 25 000
• JackSkid – над 90 000
• Mossad – над 1 000

Над 3 милиона компрометирани IoT устройства

Според разследването, ботнетите са компрометирали повече от 3 милиона IoT устройства, включително:

• уеб камери
• DVR системи
• WiFi рутери

Голяма част от тези устройства се намират в САЩ, но инфраструктурата е глобално разпределена – факт, който усложнява както откриването, така и неутрализирането на подобни заплахи.

Киберпрестъпност като услуга – бизнес моделът зад атаките

Особено тревожен е моделът „киберпрестъпност като услуга“ (Cybercrime-as-a-Service), използван от операторите.

Те са предоставяли достъп до ботнетите срещу заплащане, позволявайки на други групи да:

• стартират DDoS атаки по заявка
• извършват изнудване чрез заплахи за прекъсване на услуги
• генерират значителни финансови щети

Финансовите загуби за жертвите достигат десетки хиляди долари, като в тях се включват както директни щети, така и разходи за възстановяване и защита.

Влияние върху интернет инфраструктурата и бизнеса

Според експерти от индустрията, подобни атаки могат да имат сериозни последствия:

• Парализиране на критична интернет инфраструктура
• Деградация на услуги при интернет доставчици и техните клиенти
• Натоварване и дори компрометиране на облачни защитни системи

В някои случаи атаките са били използвани и за директно изнудване, което допълнително засилва икономическия натиск върху организациите.

Cтратегически пробив, но не и окончателно решение

Въпреки успеха на операцията, екосистемата на IoT ботнетите остава устойчива и адаптивна.

Основните фактори, които продължават да подхранват този тип заплахи, включват:

• масово използване на слабо защитени IoT устройства
• липса на базова хигиена при пароли и обновления
• лесен достъп до инструменти за автоматизация на атаки

Заключението е ясно – подобни операции могат да нарушат временно дейността на ботнетите, но без системни мерки за защита на крайни устройства и мрежи, заплахата ще продължи да ескалира.