Source: https://www.securityweek.com/turbomirai-class-aisuru-botnet-blamed-for-20-tbps-ddos-attacks/
🛡 概要
新たに出現したIoTボットネット「Aisuru」が、20テラビット毎秒(Tbps)を超える記録的な分散型サービス拒否(DDoS)攻撃を引き起こしていると報告されています。このボットネットは、TurboMiraiクラスのマルウェアの一部であり、悪名高いMiraiボットネットを彷彿とさせる存在です。AisuruはDDoS攻撃のために設計されており、主にオンラインゲームプラットフォームを標的にしていますが、政府機関や法執行機関、軍事組織などは避けています。
🔍 技術詳細
Aisuruボットネットは、消費者向けのブロードバンドルーター、CCTVカメラ、DVRシステムなどのデバイスで構成されています。これらはOEMファームウェアのバージョンを実行しており、元のMiraiボットネットのUDP、TCP、GRE、DNSクエリフラッディング機能を保持しています。Aisuruは、攻撃トラフィックを増加させる能力を持ち、認証情報の詰め込みやAIを用いたウェブスクレイピング、フィッシング、スパム活動にも利用されます。特に、ボットネットはソースアドレス検証(SAV)機能が有効なブロードバンドアクセスネットワークの一部であり、攻撃トラフィックのトレースバックが容易です。
⚠ 影響
Aisuruによる攻撃は、主にシングルベクトルの直接経路攻撃に分類され、スプーフィングされたトラフィックが欠如しています。これにより、攻撃を受けたサービスの特定が容易になり、被害者は迅速に対応できます。しかし、攻撃の規模は非常に大きく、サービスの中断やデータの漏洩といった深刻な影響を引き起こす可能性があります。特にオンラインゲーム業界では、これにより顧客の信頼を損ねるリスクが高まります。
🛠 対策
包括的な防御策としては、ネットワークの全エッジに対するアウトバウンドおよびクロスバウンド抑制を優先することが重要です。インテリジェントDDoS緩和システム(IDMS)や、インフラストラクチャのベストプラクティス(BCP)を導入することが求められます。また、利用される可能性のある顧客提供装置(CPE)のプロアクティブな修正も必要です。これにより、Aisuruボットネットの影響を最小限に抑えることができます。
