Microsoft anunță că rețeaua sa Azure a fost vizată de o campanie masivă de întrerupere a serviciilor, un atac DDoS de 15, 72 terabiți pe secundă (Tbps) provenind din peste 500.000 de adrese IP. Acest incident subliniază cât de grave și sofisticate pot deveni atacurile distribuite, amintind de valurile de botneturi IoT din ultimii ani care au determinat operatorii să regândească protecția infrastructurilor esențiale.
Ofensiva împotriva Azure a folosit rafale UDP la rate extrem de ridicate, îndreptate către o adresă IP publică din Australia, atingând aproape 3, 64 miliarde pachete pe secundă (bpps). Specialiștii Microsoft afirmă că sursa a fost botnetul Aisuru, din familia Turbo Mirai, care compromite în special routere și camere video din rețele rezidențiale, deseori prin exploatarea unor vulnerabilități cunoscute ale dispozitivelor IoT. Sean Whalen, manager de produs pentru securitate Azure, a explicat că aceste rafale UDP bruște prezintă puțină falsificare a adresei sursă și folosesc porturi sursă aleatorii, fapt care a facilitat trasabilitatea și intervenția furnizorilor.
Contextul recent indică că Aisuru nu este la prima operațiune de amploare: Cloudflare a legat același botnet de un atac record de 22, 2 Tbps, care a atins 10, 6 miliarde pachete pe secundă (Bpps) și a fost atenuat în septembrie 2025. Acela a durat doar 40 de secunde, dar volumul traficului a fost comparat cu streamingul simultan a unui milion de videoclipuri 4K. De asemenea, divizia XLab a firmei chineze de securitate Qi’anxin a atribuit, cu o săptămână înainte, o altă operațiune Aisuru de 11, 5 Tbps și estima atunci că botnetul controla aproximativ 300.000 de dispozitive compromise.
Metoda de operare a Aisuru exploatează vulnerabilități în camere IP, DVR/NVR, chipseturi Realtek și routere de la producători precum T-Mobile, Zyxel, D-Link și Linksys. Cercetătorii XLab au observat o creștere bruscă a botnetului în aprilie 2025, după compromiterea serverului de actualizări firmware al TotoLink, rezultând în infectarea a circa 100.000 de dispozitive. Astfel de compromiteri evidențiază riscurile infrastructurii IoT când actualizările și lanțurile de distribuție nu sunt suficient securizate.
Pe lângă atacurile volumetrice, Aisuru a folosit și tactici de manipulare a metricilor: jurnalistul de securitate Brian Krebs a relatat că Cloudflare a eliminat din lista publică Top Domains mai multe domenii asociate botnetului, care supraîncărcaseră clasamentul bazat pe volum de interogări DNS, depășind site-uri legitime precum Amazon, Microsoft sau Google. Cloudflare a concluzionat că operatorii botnetului inundau serviciul DNS 1.1.1.1 cu cereri malițioase pentru a amplifica artificial popularitatea propriilor domenii și a submina încrederea în clasament. CEO-ul Cloudflare, Matthew Prince, a declarat că astfel de practici au distorsionat serios sistemul de ranking și că firma a început să editeze sau să ascundă domeniile suspecte pentru a preveni repetarea acestor incidente.
Raportul DDoS al Cloudflare pentru primul trimestru din 2025 arată o creștere semnificativă a atacurilor atenuate în anul precedent: un avans trimestrial de 198% și unul anual de 358%. În total, compania a blocat 21, 3 milioane de atacuri DDoS îndreptate către clienții săi în 2024 și alte 6, 6 milioane de atacuri vizând propria infrastructură, parte a unei campanii multi-vector care a durat 18 zile.
Aceste evenimente scot în evidență câteva concluzii clare: importanța securizării firmware-urilor și a lanțurilor de actualizare, riscul reprezentat de dispozitivele IoT neactualizate și necesitatea cooperării între furnizori, operatori de rețea și cercetători pentru a detecta și bloca rețelele compromise. Cazul Aisuru ilustrează cum exploatarea unor vulnerabilități cunoscute (TotoLink, Realtek, routere populare) combinată cu tehnici agresive de amplificare poate genera vârfuri de trafic impresionante: 15, 72 Tbps pentru Microsoft, 22, 2 Tbps în cazul Cloudflare și 10, 6 miliarde pachete pe secundă, cifre care cer măsuri tehnice și politice mai ferme.
Microsoft, Cloudflare, Qi’anxin și cercetători independenți reflectă aceeași realitate din perspective diferite: botnetul Aisuru se extinde rapid prin infecții masive, iar efectele sunt resimțite la nivel global. Pe termen scurt, operatorii de rețea trebuie să prioritizeze detectarea traficului UDP anormal și implementarea filtrelor; pe termen lung, producătorii de echipamente IoT ar trebui să îmbunătățească mecanismele de autentificare și actualizare a firmware-ului pentru a micșora suprafața de atac.
Un exemplu concret: compromiterea serverului de firmware TotoLink a condus la infectarea a aproximativ 100.000 de dispozitive, modificând semnificativ mărimea botnetului. Ca o referință a impactului: 22, 2 Tbps echivalează cu streamingul simultan a sute de mii de fluxuri video de înaltă calitate, iar 10, 6 miliarde pachete pe secundă reprezintă un volum de solicitări DNS dificil de gestionat fără infrastructuri specializate.
Cloudflare și alți furnizori au început deja să aplice contramăsuri: blocare, filtrare, editare a domeniilor suspecte și cooperare cu ISP-urile pentru traceback. Rămâne esențial ca utilizatorii casnici să verifice actualizările pentru routere și camere, iar producătorii să simplifice procesul de aplicare a patch-urilor. În plus, monitorizarea continuă și schimbul de informații între actorii din securitate rămân instrumente cheie de apărare.
Acest raport arată că vulnerabilitățile tehnice și administrarea inadecvată a lanțurilor de actualizare pot avea consecințe majore, iar actorii din domeniu trebuie să colaboreze mai strâns. Ce măsură crezi că ar avea cel mai mare efect concret: actualizări automate de firmware mai sigure, reglementări stricte pentru producători sau monitorizare sporită la nivelul ISP-urilor?
Fii primul care comentează