L'attacco denial-of-service (DDoS) rilevato sul cloud di Microsoft il 24 ottobre è stato rimosso, ha dichiarato lunedì lo sviluppatore del sistema operativo Windows.
Secondo il blog di Microsoft, l'attacco DDoS ha preso di mira un singolo endpoint in Australia e ha raggiunto 15,72 terabit al secondo (Tbps) e quasi 3,64 miliardi di pacchetti al secondo (pps).
L'attacco è stato ricondotto a una botnet Internet of Things (IoT) di classe TurboMirai nota come AISURU, che, secondo quanto scoperto dalla società di sicurezza Krebson, aveva compromesso i provider di servizi Internet statunitensi AT&T, Verizon e Comcast per quasi un anno.
Microsoft non ha rivelato l'identità del bersaglio, ma ha confermato che le sue difese automatizzate hanno neutralizzato l'attacco prima che si verificassero interruzioni significative.
L'AISURU avrebbe potuto eseguire attacchi da record
Secondo l'analisi pubblicata da Microsoft, l'attacco si è basato su flood UDP ad altissima frequenza su uno specifico indirizzo IP pubblico. "L'attacco ha coinvolto flood UDP ad altissima frequenza che hanno preso di mira uno specifico indirizzo IP pubblico, lanciati da oltre 500.000 IP sorgente in diverse regioni", ha spiegato Sean Whalen, Senior Product Marketing Manager di Azure Security.
Gli analisti di Azure hanno scritto che sono stati utilizzati spoofing minimi della sorgente e porte sorgente randomizzate per semplificare il traceback e consentire agli ISP di applicare misure di mitigazione in modo efficace.
AISURU sfrutta router domestici, telecamere e sistemi DVR compromessi all'interno di ISP residenziali negli Stati Uniti e in altri paesi. QiAnXin XLab stima che la botnet controlli quasi 300.000 dispositivi infetti.
"I proprietari di Aisuru scansionano continuamente Internet alla ricerca di questi dispositivi vulnerabili e li sfruttano per utilizzarli in attacchi DDoS (Distributed Denial-of-Service) che possono sovraccaricare i server presi di mira con quantità paralizzanti di traffico indesiderato", hanno osservato i ricercatori di KrebsOnSecurity.
Anche la società americana di AIOps e tecnologia Netscout ha scoperto che AISURU opera con una clientela ristretta per evitare il coinvolgimento di governo, militari e forze dell'ordine. La maggior parte degli attacchi osservati è collegata a piattaforme di gioco online, dove un traffico elevato può causare interruzioni collaterali ad altre reti.
"Gli attacchi DDoS in uscita e cross-bound possono essere altrettanto destabilizzanti di quelli in entrata. Ci troviamo ora in una situazione in cui gli ISP subiscono regolarmente attacchi in uscita dalle loro reti con velocità superiori ai terabit al secondo, che possono causare problemi operativi", ha ipotizzato Roland Dobbins, ingegnere di Netscout.
Whalen di Azure ha anche affermato che la botnet facilita il credential stuffing, il web scraping basato sull'intelligenza artificiale, lo spamming, il phishing e gestisce un servizio proxy residenziale, con attacchi che superano i 20 Tbps.
Danni alla botnet AISURU nel 2025 finora
A maggio, il blog sulla sicurezza informatica KrebsOnSecurity ha segnalato un attacco da 6,35 Tbps, quasi un record, contrastato da Project Shield di Google. AISURU ha poi superato il record con un attacco da 11 Tbps nei mesi successivi e, a fine settembre, gli attacchi avevano superato i 22 Tbps.
Secondo un rapporto del 6 ottobre del giornalista sulla sicurezza Brian Krebs, la botnet ha inviato 29,6 Tbps di dati spazzatura a un server dedicato che misurava il traffico DDoS estremo.
Steven Ferguson, responsabile della sicurezza presso Global Secure Layer (GSL) di Brisbane, ha affermato che TCPShield, un servizio di protezione DDoS che supporta oltre 50.000 server Minecraft, è stato colpito da oltre 15 Tbps di dati spazzatura l'8 ottobre.
"Ciò ha causato una grave congestione nei porti esterni di Miami per diverse settimane, come dimostrato pubblicamente dalla loro mappa meteorologica", ha affermato Ferguson.
L'attacco ha causato una congestione significativa sulle porte di Miami del provider upstream OVH, non lasciando all'azienda altra scelta che interrompere il servizio TCPShield. Tuttavia, ha rivelato che la rete è ora completamente protetta dai servizi di sicurezza GSL, un abbonamento che gli ISP più piccoli potrebbero non avere il budget necessario per pagare.
Sebbene gli exploit DDoS prendano di mira principalmente le reti di gioco online, il volume di traffico dannoso colpisce servizi non correlati e la connettività nell'area circostante. La maggior parte delle organizzazioni non dispone delle risorse necessarie per resistere a tali attacchi perché non dispone di strumenti di mitigazione specializzati in grado di proteggerle dall'esposizione e dai danni.
La rivelazione di Microsoft segue quella di Netscout su Eleven11, noto anche come RapperBot, un'altra botnet IoT di classe TurboMirai. Si stima che tra fine febbraio e agosto, Eleven11 abbia lanciato circa 3.600 attacchi DDoS.
Alcuni dei server di comando e controllo (C2) di Eleven11 erano registrati con il dominio di primo livello (TLD) ".libre", parte di OpenNIC, una radice DNS alternativa indipendente dall'ICANN. L'analisi del malware ha inoltre rivelato che la botnet utilizzava domini di primo livello generici dell'ICANN (.live e .info), con gli IP dei server C2 crittografati nei record.
Netscout ha citato campioni del 2024 che dimostrano che il codice sorgente di Eleven11 era maturato per riconfigurare dinamicamente l'infrastruttura C2 utilizzando nomi di dominio anziché IP codificati.
Fatti notare dove conta. Pubblicizza su Cryptopolitan Research e raggiungi gli investitori e gli sviluppatori di criptovalute più abili.