Azure hứng chịu cuộc tấn công DDoS 15Tbps từ 500.000 IP

 (bleepingcomputer.com)
2 điểm bởi GN⁺ 2025-11-18 | 1 bình luận | Chia sẻ qua WhatsApp
  • Botnet Aisuru đã thực hiện một cuộc tấn công DDoS quy mô lớn nhằm vào mạng Microsoft Azure với lưu lượng 15,72Tbps mỗi giây
  • Cuộc tấn công xuất phát từ hơn 500.000 địa chỉ IP, dưới dạng UDP flood nhắm vào một IP công khai cụ thể tại Australia, đạt tới 3,64 tỷ gói tin mỗi giây
  • Aisuru là botnet IoT thuộc dòng Turbo Mirai, lợi dụng router gia đình và camera để phát tán qua mạng ISP ở nhiều quốc gia như Mỹ
  • Trong các vụ tấn công trước đây được Cloudflare và Qi’anxin ghi nhận, cùng botnet này đã bị xác định có liên quan đến các cuộc tấn công quy mô 11,5Tbps~22,2Tbps
  • Đây là ví dụ cho thấy mối đe dọa DDoS quy mô lớn dựa trên IoT đang tiếp tục lan rộng trên toàn bộ hạ tầng đám mây

Tổng quan về cuộc tấn công DDoS 15,72Tbps nhắm vào Azure

  • Microsoft công bố rằng botnet Aisuru đã thực hiện cuộc tấn công DDoS 15,72Tbps mỗi giây nhằm vào mạng Azure

    • Cuộc tấn công xuất phát từ hơn 500.000 địa chỉ IP
    • Hình thức tấn công là UDP flood tốc độ cao, nhắm vào một IP công khai cụ thể tại Australia
    • Lưu lượng đạt khoảng 3,64 tỷ gói tin mỗi giây (bpps)

  • Sean Whalen từ đội ngũ bảo mật Microsoft Azure cho biết Aisuru là một botnet IoT cấp độ Turbo Mirai,
    lây nhiễm router gia đình và camera để tạo ra các cuộc tấn công quy mô lớn

    • Nó chủ yếu phát tán qua mạng ISP dân dụng tại Mỹ và các quốc gia khác

  • Lưu lượng tấn công hầu như không sử dụng giả mạo nguồn, đồng thời dùng cổng nguồn ngẫu nhiên

    • Nhờ đó việc truy vết (traceback)chặn ở phía nhà cung cấp trở nên dễ dàng hơn

Hoạt động trước đây của botnet Aisuru

  • Cloudflare báo cáo vào tháng 9/2025 rằng cùng botnet Aisuru đã gây ra một cuộc tấn công DDoS 22,2Tbps

    • Mức lưu lượng đạt 10,6 tỷ gói tin mỗi giây và kéo dài khoảng 40 giây
    • Đây tương đương lượng lưu lượng của 1 triệu luồng video 4K phát đồng thời

  • XLab của công ty an ninh mạng Trung Quốc Qi’anxin phân tích rằng một cuộc tấn công 11,5Tbps là do botnet Aisuru thực hiện

    • Khi đó khoảng 300.000 bot đang bị điều khiển

Đường lây nhiễm và sự mở rộng

  • Aisuru khai thác các lỗ hổng bảo mật trên camera IP, DVR/NVR, chip Realtek và router
    • Các nhà sản xuất bị nhắm tới gồm T-Mobile, Zyxel, D-Link, Linksys
  • Vào tháng 4/2025, thông qua xâm nhập máy chủ cập nhật firmware router TotoLink, khoảng 100.000 thiết bị đã bị lây nhiễm thêm
    • Sau thời điểm này, quy mô botnet đã tăng vọt

Phản ứng và tác động liên quan đến Cloudflare

  • Nhà báo an ninh Brian Krebs đưa tin rằng Cloudflare đã loại bỏ các tên miền liên quan đến Aisuru
    khỏi bảng xếp hạng “Top Domains” của mình
    • Các tên miền đó đã leo lên trên cả những trang hợp pháp như Amazon, Microsoft, Google, làm sai lệch bảng xếp hạng
  • Cloudflare cho biết các toán tử Aisuru đã gửi lượng lớn truy vấn độc hại tới dịch vụ DNS (1.1.1.1)
    để nâng độ phổ biến tên miền một cách giả tạo
    • CEO Matthew Prince nói rằng điều này đã làm méo mó nghiêm trọng hệ thống xếp hạng
    • Sau đó Cloudflare đã áp dụng chính sách ẩn các tên miền đáng ngờ

Xu hướng gia tăng của các cuộc tấn công DDoS

  • Theo báo cáo DDoS quý 1/2025 của Cloudflare
    • Số lượng tấn công tăng 358% so với cùng kỳ năm trước198% so với quý trước
    • Trong cả năm 2024, hãng đã chặn 21,3 triệu cuộc tấn công nhằm vào khách hàng và 6,6 triệu cuộc tấn công nhằm vào chính hạ tầng của mình
    • Một số được xác định là chiến dịch tấn công đa vector kéo dài 18 ngày

Tóm tắt

  • Botnet Aisuru đã phát triển thành hạ tầng tấn công DDoS siêu lớn thông qua lây nhiễm thiết bị IoT
  • Các nhà cung cấp đám mây lớn như Microsoft Azure và Cloudflare đã phòng thủ trước những cuộc tấn công lớn nhất từ trước đến nay
  • Làm méo dịch vụ DNS, khai thác lỗ hổng IoT và bùng nổ lưu lượng toàn cầu đang kết hợp thành một dạng đe dọa phức hợp
  • Đây là ví dụ cho thấy sự cần thiết phải tiếp tục tăng cường hệ thống phòng thủ đối với các nhà cung cấp đám mây và mạng

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-11-18
Ý kiến trên Hacker News

  • Thật thú vị khi botnet DDoS Aisuru tránh nhắm vào các cơ quan chính phủ hay quân sự, mà chủ yếu chọn game online làm mục tiêu
    Nhưng tôi không hiểu vì sao lại có người trả tiền để đánh sập máy chủ game. Khiến người khác không chơi được vài tiếng thì rốt cuộc được lợi gì?
    Bài blog liên quan

    • Cuối cùng thì lý do là cơn giận và khát vọng quyền lực. Kiểu tâm lý “ta không làm được thì không ai được làm”, thậm chí còn tống tiền quản trị viên máy chủ để đòi quyền mod
      Trường hợp khác là tấn công máy chủ đối thủ để độc chiếm doanh thu bán vật phẩm trả phí hoặc bán thứ hạng
    • Cá cược eSports là một nguyên nhân lớn. Thực tế đã có trường hợp dùng DDoS trong giải đấu Fortnite để khiến đối thủ rơi vào thế bất lợi
    • Một số còn nhắm tới thao túng thị trường trong game. Với các game có tiền tệ hay vật phẩm giao dịch được, việc máy chủ ngừng hoạt động sẽ ảnh hưởng đến giá cả
      Có khi mục đích là phá sự kiện hoặc giải đấu, hoặc đơn giản chỉ là troll vì có ác cảm với nhà phát triển
    • Có thể lý do lớn hơn không phải là bản thân game, mà là cạnh tranh giữa các trang cá cược. Chỉ cần đánh sập trang đối thủ vài tiếng là tiền đã chảy đi rất nhiều
      Gần đây video của CoffeeZilla cũng nhắc đến những hành vi kỳ quặc của các casino gaming như vậy
    • Nói lại lần nữa, chính vì thị trường cá cược eSports quá lớn nên những chuyện này mới xảy ra

  • Nhìn các bài liên quan thì botnet Aisuru vẫn đang tiến hóa, như việc bị Cloudflare loại khỏi danh sách các miền hàng đầu hoặc chuyển sang proxy residential

  • Vào tháng 4/2025 đã có vụ máy chủ firmware của TotoLink bị tấn công, khiến 100.000 router bị lây nhiễm
    Các dự án mã nguồn mở như OpenWRT thì tốt, nhưng vẫn khiến người ta lo ai sẽ bảo vệ máy chủ. Liệu chữ ký số có ngăn được chuyện này không?

    • OpenWRT bảo vệ firmware và package bằng chữ ký số. Thậm chí có thể tự xác minh chữ ký trước khi cập nhật
      Nhưng nếu bị nhiễm ở giai đoạn sau khi build mà trước khi ký, thì vẫn có thể gây thiệt hại trên diện rộng, nên reproducible builds là rất quan trọng
      Tài liệu bảo mật của OpenWRT
    • Thực ra doanh nghiệp tư nhân cũng chỉ đầu tư tối thiểu vào nhân sự bảo mật. Nhiều router thương mại còn dễ tổn thương hơn
    • Vì vậy OpenWRT tắt cập nhật tự động theo mặc định
    • Kho mã nguồn mở có hàng trăm người giám sát, còn máy chủ build của doanh nghiệp thì may ra chỉ một hai người để mắt tới
    • Có người chỉ ra rằng cuộc thảo luận này chỉ là kiểu làm loãng vấn đề bằng câu “thế còn bảo mật thì sao” mà thôi

  • DDoS thường được dùng để đánh lạc hướng đội ngũ bảo mật. Trong lúc hỗn loạn, kẻ tấn công sẽ tiến hành những đòn kín đáo hơn

    • Nhưng cũng có nghi vấn liệu chuyện này có xảy ra “thường xuyên” hay không. Vì khi ứng phó DDoS người ta không nới lỏng cấu hình bảo mật, nên có thể đây không phải chiến lược hiệu quả
    • Điều thú vị là dù MS hứng chịu một cuộc tấn công kỷ lục nhưng dịch vụ không hề bị chậm. Cũng có câu đùa rằng vốn dĩ nó đã chậm sẵn nên chẳng ai nhận ra

  • IoT vẫn là một làn sóng thiết bị có bảo mật yếu kém. Cần một cách làm tốt hơn

    • Nếu ISP giới hạn loại router mà khách hàng được dùng thì bảo mật có thể tốt hơn, nhưng lại đáng lo ở chỗ quyền tự do bị thu hẹp
    • Giống câu đùa “chữ S trong IoT là chữ S của Security”, đây là một vấn đề cấu trúc khi bảo mật bị bỏ ngỏ
    • Với câu “cần một cách làm tốt hơn”, cũng có phản ứng mỉa mai rằng “trước đó sẽ còn một làn sóng lớn hơn nữa”
    • Cũng có phân tích cho rằng chính sách bắt buộc cập nhật bảo mật tự động ở châu Âu, một cách nghịch lý, lại góp phần làm botnet lan rộng. Nếu máy chủ cập nhật bị hack thì hàng trăm nghìn thiết bị có thể bị nhiễm cùng lúc

  • Tôi thử vào blog nhưng gặp lỗi proxy. Trớ trêu thay, có vẻ như bài viết liên quan cũng đang bị DDoS chặn luôn

  • Không hiểu vì sao lại không có cơ quan chuyên trách tội phạm mạng quốc tế. Có lẽ như vậy sẽ ngăn được các hành vi độc hại kiểu này

    • Điều đó gần như bất khả thi vì vấn đề chủ quyền quốc gia và lợi ích chính trị. Một số nước thậm chí còn hưởng lợi từ những loại tội phạm như vậy
    • Thực tế các cuộc điều tra phối hợp quốc tế vẫn diễn ra đều đặn. Nhưng do ràng buộc chính trị, kể cả có lập ra cơ quan mới thì cũng khó tạo khác biệt lớn
    • Ngay cả các tổ chức hiện có như UN cũng không thể ngăn chặn hoàn toàn chiến tranh, buôn người, rửa tiền. Dù vậy, vẫn tốt hơn là hoàn toàn vô pháp, chỉ là có giới hạn
    • Trung Quốc và Nga muốn phương Tây thất bại. Trong tình hình như vậy, rất khó kỳ vọng vào hợp tác
    • Như câu đùa “Team America, World Police?”, kể cả có cảnh sát quốc tế thì cũng cần cách tiếp cận thiên về phòng ngừa hơn là răn đe
      Ví dụ, nếu có hiệp ước bắt buộc tiêu chuẩn bảo mật, số router tiêu dùng dễ bị tổn thương sẽ giảm đi và chính thị trường DDoS cũng có thể bị thu hẹp
      Nhưng vì tội phạm thường chỉ nhắm vào kẻ yếu thay vì kẻ mạnh, nên vấn đề này lại ít được xã hội quan tâm

  • Thật đáng tiếc khi có nhiều node đến vậy mà không nghĩ đến chuyện tạo ra công nghệ hay ho nào đó, mà chỉ dùng để thỏa mãn lòng tự ái
    Hoàn toàn có thể xây được mạng kiểu Tor hay hệ thống lưu trữ phân tán, vậy mà cuối cùng lại lãng phí vào tội phạm, thật đáng buồn

  • Câu hỏi “Ai được lợi? (Cui bono)” hiện lên trong đầu. Thật khó hiểu liệu những cuộc tấn công quy mô lớn thế này có thực sự đáng giá không. Hay là có yêu cầu tiền chuộc nào bị che giấu phía sau?

    • Thực tế thì chi phí gần như bằng không. Chúng đã tấn công ngẫu nhiên những nơi như máy chủ Minecraft suốt nhiều tháng qua

  • Việc chỉ tấn công một endpoint ở Úc nghe khá lạ. Tại sao lại dùng vụ DDoS lớn nhất thế giới vào đó?
    Nếu có CDN thì lẽ ra phải có cấu trúc dự phòng, nên tôi tò mò ai trả tiền và họ thu được gì

    • DDoS không phải là tín hiệu mà là tiếng ồn. Mục đích của cuộc tấn công có thể là phủ kín log để che giấu mục tiêu thật sự. APT28/29 từng dùng chiến lược kiểu này
    • Hoặc cũng có thể đơn giản chỉ là màn cãi vã cảm tính giữa các game thủ Úc. Thậm chí còn có câu đùa kiểu “Simmo bực vì Jonno chia tay em gái mình”
    • Thực tế những cuộc tấn công như vậy xảy ra hằng ngày, và phần lớn đều bị chặn bởi các giải pháp phòng thủ như Cloudflare Magic Transit.
      Theo ý kiến này thì không cần gán quá nhiều ý nghĩa sâu xa cho nó