Microsoft Azure столкнулась с беспрецедентной по масштабу распределенной атакой отказа в обслуживании (DDoS), которая генерировала трафик объемом 15,72 Тбит/с. Согласно официальным данным корпорации, в атаке было задействовано свыше полумиллиона IP-адресов, а максимальная интенсивность превысила отметку в 3,6 миллиарда пакетов в секунду. Целью злоумышленников стал публичный IP-адрес облачной инфраструктуры в австралийском регионе, что привело к кратковременным, но серьезным перебоям в работе сервисов.

Как сообщили в Microsoft, источником атаки выступил ботнет Aisuru — модифицированная версия известного семейства Turbo Mirai. Данная сеть скомпрометированных IoT-устройств преимущественно состоит из уязвимых домашних роутеров и IP-камер, которые были взломаны через интернет-провайдеров в Соединенных Штатах и ряде других государств.

Масштаб и характеристики атаки на Azure
Атака на инфраструктуру Azure стала одной из самых мощных DDoS-атак в истории облачных сервисов. Технические характеристики инцидента:

- Объем трафика: 15,72 Тбит/с
- Количество IP-адресов: более 500 000
- Пиковая интенсивность: 3,6 млрд пакетов в секунду
- Географическая цель: публичный IP-адрес в Австралии
- Длительность: кратковременные, но масштабные сбои

По словам Шона Уэйлена, занимающего должность старшего менеджера по продуктам защиты облачных сервисов Azure, специфика атакующего трафика — применение случайных портов источника и минимальная подмена IP-адресов — дала возможность системам защиты быстрее идентифицировать и отфильтровать вредоносный поток, что существенно уменьшило нагрузку на облачную инфраструктуру.

Характеристики трафика и техники атаки
Анализ трафика атаки на Azure выявил несколько интересных особенностей, которые помогли системам защиты эффективно справиться с угрозой.

Случайные порты источника
Трафик использовал случайные порты источника, что является стандартной техникой для обхода базовых фильтров. Однако это также упростило фильтрацию для защитных систем Azure, так как паттерн был легко идентифицируем.

Отсутствие подмены IP
Почти полное отсутствие подмены IP-адресов в трафике позволило системам защиты быстрее идентифицировать и блокировать вредоносный трафик. Это указывает на то, что ботнет полагается на объем, а не на сложность техник обхода.

Эффективность фильтрации
Характер трафика позволил системам Azure ускорить его фильтрацию и снизить нагрузку на инфраструктуру. Это демонстрирует важность адаптивных систем защиты, способных быстро анализировать и реагировать на различные типы атак.

Ботнет Aisuru: что это такое
Ботнет Aisuru представляет собой разновидность Turbo Mirai — модифицированной версии печально известного ботнета Mirai, который впервые появился в 2016 году. В отличие от оригинального Mirai, Turbo Mirai и его варианты используют более продвинутые техники для увеличения объема атак и уклонения от обнаружения.

Состав ботнета
По данным исследовательской группы XLab из китайской компании Qi'anxin, к моменту атаки на Azure ботнет Aisuru контролировал около 300 000 зараженных устройств, преимущественно за счет эксплуатации уязвимостей в:

- IP-камерах — устройства видеонаблюдения с уязвимостями
- Видеорегистраторах — системы записи видео
- Оборудовании Realtek — сетевые чипсеты и устройства
- Маршрутизаторах компаний:
- T-Mobile
- Zyxel
- D-Link
- Linksys

Механизм заражения
Наиболее стремительный рост ботнета произошел в апреле 2026 года, когда была скомпрометирована система обновлений маршрутизаторов TotoLink. Благодаря этому инциденту киберпреступникам удалось заразить приблизительно 100 тысяч устройств в предельно сжатые сроки.

Этот инцидент демонстрирует критическую важность безопасности цепочки поставок и серверов обновлений. Компрометация одного сервера обновлений может привести к массовому заражению тысяч устройств одновременно.

Угроза для IoT-устройств
Ботнет Aisuru фокусируется на заражении IoT-устройств, что представляет серьезную угрозу для безопасности интернета. Проблема заключается в том, что миллионы устройств остаются уязвимыми из-за слабой защиты по умолчанию.

Уязвимые устройства
Основные категории уязвимых устройств:

1. Домашние маршрутизаторы
- Слабая защита по умолчанию
- Редкие обновления прошивки
- Использование стандартных паролей

2. IP-камеры и видеорегистраторы
- Открытые порты в интернете
- Устаревшее программное обеспечение
- Отсутствие механизмов обновления

3. Сетевое оборудование
- Уязвимости в прошивках
- Небезопасные протоколы управления
- Отсутствие мониторинга

Географическое распределение
Ботнет Aisuru использует устройства, взломанные через провайдеров США и других стран, что делает его глобальной угрозой, не ограниченной одной географической областью. Это усложняет борьбу с ботнетом, так как зараженные устройства находятся в разных юрисдикциях.

Серия рекордных атак в 2026 году
Атака на Azure стала частью серии мощных DDoS-атак, организованных ботнетом Aisuru в 2026 году. Эти инциденты демонстрируют растущую мощь современных ботнетов и их способность генерировать экстремально высокие объемы трафика.

Атака на Cloudflare (сентябрь 2026)
Сентябрь 2026 года ознаменовался еще одним рекордом: эксперты Cloudflare зафиксировали DDoS-атаку с пиковым объемом 22,2 Тбит/с и плотностью 10,6 миллиарда пакетов в секунду. Несмотря на то, что продолжительность инцидента составила всего около 40 секунд, его мощность можно сравнить с одновременной трансляцией миллиона видеофайлов в разрешении 4K.

По информации компании, источником снова оказался ботнет Aisuru, что подтверждает его способность генерировать экстремально высокие объемы трафика.

Атака, зафиксированная XLab
Примерно за неделю до этого китайские исследователи из XLab (компания Qi'anxin) также обнаружили масштабную DDoS-атаку мощностью 11,5 Тбит/с, которую они напрямую атрибутировали ботнету Aisuru.

Эта серия атак демонстрирует, что современные ботнеты способны генерировать трафик, измеряемый десятками терабит в секунду, что представляет серьезную угрозу для глобальной интернет-инфраструктуры.

Манипуляции с DNS-рейтингом
Расследование указывает на то, что ботнет Aisuru используется не только для прямых DDoS-атак, но и для подрывной деятельности против авторитетных интернет-платформ.

Инцидент с Cloudflare DNS
В начале месяца известный журналист по кибербезопасности Брайан Кребс опубликовал информацию о том, что Cloudflare удалила из публичного DNS-рейтинга несколько доменных имен, ассоциированных с ботнетом Aisuru. Подозрения возникли после того, как эти адреса неожиданно начали опережать по количеству запросов такие легитимные платформы, как Amazon, Microsoft и Google.

Впоследствии представители Cloudflare официально подтвердили: преступники намеренно генерировали злонамеренный трафик к DNS-сервису компании (1.1.1.1) с целью искажения статистических данных и искусственного повышения позиций вредоносных веб-сайтов в рейтингах популярности.

Реакция Cloudflare
Глава Cloudflare Мэтью Принс высказался по поводу инцидента, отметив, что активность ботнета Aisuru грубо нарушает базовые принципы работы открытых рейтинговых механизмов. В ответ на это компания изменила методологию составления списков наиболее популярных доменов и внедрила процедуру ручной модерации для исключения или сокрытия подозрительных записей.

Этот инцидент подчеркивает важность защиты публичных сервисов от манипуляций и необходимость постоянного мониторинга аномальной активности.

Эволюция современных ботнетов
Ботнет Aisuru демонстрирует эволюцию современных ботнетов, которые становятся все более мощными и изощренными.

Увеличение масштаба
- От тысяч до сотен тысяч устройств
- Объемы трафика в десятки терабит в секунду
- Глобальное географическое распределение

Разнообразие целей
- Прямые DDoS-атаки на инфраструктуру
- Манипуляции с публичными сервисами
- Комбинированные атаки на несколько целей

Улучшенная скрытность
- Использование легитимных устройств
- Минимизация подозрительной активности
- Адаптация к защитным мерам

Влияние на облачную инфраструктуру
Атаки такого масштаба подчеркивают важность защиты облачной инфраструктуры и необходимость постоянного совершенствования систем защиты. Облачные провайдеры должны быть готовы к отражению все более мощных атак.

Масштабируемость защиты
Облачные провайдеры должны обеспечивать:

- Автоматическое масштабирование защиты при атаках
- Распределенную фильтрацию трафика
- Адаптивные алгоритмы обнаружения и блокировки

Устойчивость инфраструктуры
Критически важные сервисы должны быть спроектированы с учетом:

- Избыточности на всех уровнях
- Географического распределения ресурсов
- Быстрого восстановления после инцидентов

Рекомендации по защите
Организации и пользователи должны принять меры для защиты от угроз, связанных с ботнетами типа Aisuru. Защита должна быть многоуровневой и проактивной.

Для организаций
1. Защита от DDoS-атак
- Использование специализированных сервисов защиты от DDoS
- Реализация многоуровневой защиты
- Мониторинг сетевого трафика на аномалии

2. Мониторинг инфраструктуры
- Отслеживание необычных паттернов трафика
- Настройка алертов на подозрительную активность
- Регулярный анализ логов

3. План реагирования
- Разработанный план реагирования на DDoS-атаки
- Готовность к масштабированию ресурсов
- Коммуникационные протоколы для инцидентов

Для пользователей IoT-устройств
1. Обновление прошивок
- Регулярная проверка обновлений
- Установка последних версий прошивок
- Использование автоматических обновлений, если доступно

2. Изменение паролей по умолчанию
- Установка сложных уникальных паролей
- Отключение стандартных учетных записей
- Использование многофакторной аутентификации

3. Ограничение доступа
- Отключение ненужных портов
- Использование VPN вместо прямого доступа
- Сегментация сетей IoT-устройств

4. Мониторинг устройств
- Проверка необычной активности
- Мониторинг использования ресурсов
- Отслеживание сетевых подключений

Заключение
Атака на Azure объемом 15,72 Тбит/с, организованная ботнетом Aisuru, стала одной из самых мощных DDoS-атак в истории облачных сервисов. Эта атака, наряду с другими рекордными инцидентами 2026 года, демонстрирует растущую мощь современных ботнетов и их способность генерировать экстремально высокие объемы трафика.

Ключевые моменты:
- Ботнет Aisuru контролирует более 500 000 устройств — преимущественно IoT-устройства
- Серия рекордных атак — от 11,5 до 22,2 Тбит/с в 2026 году
- Компрометация серверов обновлений — критическая уязвимость в цепочке поставок
- Манипуляции с DNS-рейтингами — использование ботнета для подрывной деятельности
- Глобальная угроза — устройства заражены через провайдеров разных стран

Организации должны принять проактивные меры по защите от DDoS-атак, включая использование специализированных сервисов защиты, мониторинг трафика и разработку планов реагирования. Пользователи IoT-устройств должны регулярно обновлять прошивки, изменять пароли по умолчанию и ограничивать доступ к своим устройствам.

Ситуация продолжает развиваться, и эксперты по кибербезопасности рекомендуют организациям и пользователям оставаться бдительными и следить за новыми техниками, используемыми современными ботнетами.

---

Источник: Microsoft Azure, Cloudflare, XLab (Qi'anxin), Брайан Кребс
Дата атаки: 2026 год
Ботнет: Aisuru (разновидность Turbo Mirai)
Объем атаки: 15,72 Тбит/с (Azure), 22,2 Тбит/с (Cloudflare), 11,5 Тбит/с (XLab)

---

**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.