Microsoft maakte maandag bekend dat het automatisch een gedistribueerde denial-of-service (DDoS)-aanval heeft gedetecteerd en geneutraliseerd, gericht op een enkel eindpunt in Australië, met een snelheid van 15,72 terabit per seconde (Tbps) en bijna 3,64 miljard pakketten per seconde (pps).
De technologiegigant zei dat het de grootste DDoS-aanval was die ooit in de cloud is waargenomen, en dat deze afkomstig was van een TurboMirai-klasse Internet of Things (IoT-botnet, bekend als AISURU. Het is momenteel niet bekend wie het doelwit was van de aanval.
“De aanval omvatte extreem snelle UDP-overstromingen gericht op een specifiek openbaar IP-adres, gelanceerd vanaf meer dan 500.000 bron-IP’s in verschillende regio’s”, aldus Sean Whalen van Microsoft.
“Deze plotselinge UDP-bursts hadden minimale bronspoofing en maakten gebruik van willekeurige bronpoorten, wat de traceback hielp vereenvoudigen en de handhaving van de provider vergemakkelijkte.”
Volgens gegevens van QiAnXin XLab wordt het AISURU-botnet aangedreven door bijna 300.000 geïnfecteerde apparaten, waarvan de meeste routers, beveiligingscamera’s en DVR-systemen zijn. Het wordt toegeschreven aan enkele van de grootste DDoS-aanvallen die tot nu toe zijn geregistreerd. In een rapport dat vorige maand werd gepubliceerd, classificeerde NETSCOUT het DDoS-for-hire-botnet als opererend met een beperkte klantenkring.
“Exploitanten hebben naar verluidt preventieve maatregelen geïmplementeerd om aanvallen op overheids-, wetshandhavings-, militaire en andere nationale veiligheidseigendommen te voorkomen”, aldus het bedrijf. “De meeste waargenomen Aisuru-aanvallen tot nu toe lijken verband te houden met online gamen.”
Botnets zoals AISURU maken ook functies voor meerdere doeleinden mogelijk, die verder gaan dan DDoS-aanvallen van meer dan 20 Tbps en andere illegale activiteiten mogelijk maken, zoals het opvullen van gegevens, door kunstmatige intelligentie (AI) aangestuurde webscraping, spamming en phishing. AISURU omvat ook een residentiële proxyservice.
“Aanvallers schalen mee met het internet zelf. Naarmate de snelheden van glasvezel naar huis stijgen en IoT-apparaten krachtiger worden, blijft de basis voor de omvang van de aanval stijgen”, aldus Microsoft.
De onthulling komt op het moment dat NETSCOUT een ander TurboMirai-botnet beschrijft, genaamd Eleven11 (ook wel RapperBot genoemd), dat naar schatting ongeveer 3.600 DDoS-aanvallen heeft gelanceerd, mogelijk gemaakt door gekaapte IoT-apparaten tussen eind februari en augustus 2025, rond dezelfde tijd dat de autoriteiten een arrestatie en de ontmanteling van het botnet bekendmaakten.
Sommige van de command-and-control (C2)-servers die aan het botnet zijn gekoppeld, zijn geregistreerd bij het “.libre”-topniveaudomein (TLD), dat deel uitmaakt van OpenNIC, een alternatieve DNS-root die onafhankelijk van ICANN opereert en is omarmd door andere DDoS-botnets zoals CatDDoS en Fodcha.
“Hoewel het botnet waarschijnlijk onbruikbaar is geworden, blijven gecompromitteerde apparaten kwetsbaar”, aldus het rapport. “Het is waarschijnlijk een kwestie van tijd voordat hosts opnieuw worden gekaapt en ingelijfd als gecompromitteerd knooppunt voor het volgende botnet.”
