11,5 Тбит/с: как ботнет AISURU смог установить абсолютный рекорд DDoS-атаки

Новый ботнет AISURU стал причиной крупнейшей зафиксированной DDoS-атаки, мощность которой достигла 11,5 Тбит/с. Масштаб атаки побил весенний рекорд в 5,8 Тбит/с и показал, насколько быстро растёт уровень угроз, связанных с захватом сетевых устройств. По оценкам исследователей QiAnXin XLab, в сети ботнета оказались около 300 тысяч маршрутизаторов по всему миру.

AISURU был впервые описан XLab летом 2024 года, но уже в марте 2025-го их система CTIA начала фиксировать новые образцы вредоносного кода. Внутренний источник сообщил, что группировка управляется тремя операторами: Snow отвечает за разработку инфраструктуры, Tom ищет уязвимости, а Forky занимается коммерческой стороной. В апреле 2025 года Tom смог внедрить вредоносный скрипт t.sh в сервер обновлений Totolink, что привело к массовому заражению устройств. За несколько недель ботнет вырос до 100 тысяч узлов, а позднее его масштаб достиг 300 тысяч.

В распоряжении XLab оказались данные из панели управления ботнетом, где среди прочего отображалось более 30 тысяч заражённых устройств в Китае. Сопоставление этих сведений с телеметрией Cloudflare позволило подтвердить участие AISURU в атаках рекордной мощности. Для усиления трафика операторы использовали GRE-туннели, развёрнутые на четырёх командных узлах, что и помогло довести объём трафика до 11,5 Тбит/с.

Распространение AISURU обеспечивается за счёт эксплуатации многочисленных уязвимостей в сетевом оборудовании. В их числе — CVE-2017-5259 в устройствах Cambium, CVE-2023-28771 в оборудовании Zyxel, CVE-2023-50381 в SDK Realtek Jungle, а также целый ряд старых дыр в видеорегистраторах и шлюзах. Кроме того, ботнет до сих пор использует 0-day в маршрутизаторах Cambium cnPilot, замеченный ещё в 2024 году. Такой арсенал позволил операторам заразить сотни тысяч домашних и корпоративных роутеров по всему миру.

По данным XLab, атаки проводятся ежедневно и затрагивают организации в Китае, США, Германии, Великобритании и Гонконге. Жертвы выбираются хаотично — нет признаков, что злоумышленники сосредотачиваются на какой-то одной отрасли. Весной AISURU уже запускал волну в 5,8 Тбит/с, а осенью мощность увеличилась почти вдвое.

Технический анализ второй версии AISURU показал, что авторы серьёзно поработали над методами маскировки. Вредоносное ПО проверяет наличие анализаторских инструментов вроде Wireshark или виртуальных сред и прекращает работу при их обнаружении.

Чтобы удержаться в памяти даже при нехватке ресурсов, оно отключает механизм Linux OOM Killer. Для маскировки процесс переименовывается в libcow.so и отображается как обычные системные службы — например, telnetd или dhclient. Внутри применена изменённая версия алгоритма RC4 с фиксированным ключом «PJbiNbbeasddDfsc» и дополнительными шагами инициализации, что усложняет расшифровку.

Для связи с C2 узлами ботнет по-прежнему использует TXT-записи в DNS, расшифровывая их через XOR и разделяя строки на поддомены. В последних сборках также появился модуль проверки скорости соединения через Speedtest, позволяющий авторам отбирать узлы с максимальной пропускной способностью для будущих атак.

Комбинация быстрого роста, использования множества уязвимостей и сложных методов сокрытия делает AISURU одной из самых мощных ботсетей в истории. Исследователи советуют администраторам сетей немедленно обновлять прошивки маршрутизаторов, отслеживать аномальное создание GRE-туннелей и внимательно анализировать необычные TXT-записи в DNS, чтобы вовремя пресечь распространение этой угрозы.