VietNetwork.Vn

Hôm thứ Hai, Microsoft tiết lộ rằng họ đã tự động phát hiện và vô hiệu hóa một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào một điểm cuối duy nhất ở Úc với tốc độ đo được là 15,72 terabit mỗi giây (Tbps) và gần 3,64 tỷ gói tin mỗi giây (pps).

Gã khổng lồ công nghệ cho biết đây là cuộc tấn công DDoS lớn nhất từng được ghi nhận trên nền tảng đám mây, và nó bắt nguồn từ một botnet Internet vạn vật (IoT) loại TurboMirai có tên là AISURU. Hiện vẫn chưa rõ ai là mục tiêu của cuộc tấn công.


Sean Whalen của Microsoft cho biết : "Cuộc tấn công liên quan đến các đợt tấn công UDP tốc độ cực cao nhắm vào một địa chỉ IP công cộng cụ thể, được phát động từ hơn 500.000 IP nguồn trên nhiều khu vực khác nhau".

"Những đợt UDP đột ngột này có khả năng giả mạo nguồn tối thiểu và sử dụng các cổng nguồn ngẫu nhiên, giúp đơn giản hóa việc theo dõi và tạo điều kiện thuận lợi cho việc thực thi của nhà cung cấp."

Theo dữ liệu từ QiAnXin XLab, botnet AISURU được điều khiển bởi gần 300.000 thiết bị bị nhiễm, phần lớn là bộ định tuyến, camera an ninh và hệ thống DVR. Nó được cho là nguyên nhân của một số cuộc tấn công DDoS lớn nhất được ghi nhận cho đến nay. Trong một báo cáo được công bố tháng trước, NETSCOUT đã phân loại botnet DDoS-cho-thuê này là hoạt động với một lượng khách hàng hạn chế.

"Các nhà điều hành được cho là đã thực hiện các biện pháp phòng ngừa để tránh tấn công vào các cơ sở của chính phủ, cơ quan thực thi pháp luật, quân đội và các cơ sở an ninh quốc gia khác", công ty cho biết. "Hầu hết các cuộc tấn công AISURU được quan sát cho đến nay dường như đều liên quan đến trò chơi trực tuyến."

Các botnet như AISURU còn cho phép thực hiện nhiều chức năng, vượt xa các cuộc tấn công DDoS vượt quá 20Tbps để tạo điều kiện cho các hoạt động bất hợp pháp khác như nhồi nhét thông tin đăng nhập, thu thập dữ liệu web bằng trí tuệ nhân tạo (AI), gửi thư rác và lừa đảo. AISURU cũng tích hợp dịch vụ proxy dân dụng.

Microsoft cho biết: "Những kẻ tấn công đang mở rộng quy mô cùng với chính internet. Khi tốc độ cáp quang đến tận nhà tăng lên và các thiết bị IoT ngày càng mạnh mẽ hơn, quy mô tấn công cơ bản cũng ngày càng tăng".

Tiết lộ này được đưa ra khi NETSCOUT nêu chi tiết về một mạng botnet TurboMirai khác có tên là Eleven11 (hay còn gọi là RapperBot), ước tính đã phát động khoảng 3.600 cuộc tấn công DDoS được thực hiện bằng các thiết bị IoT bị chiếm quyền điều khiển từ cuối tháng 2 đến tháng 8 năm 2025, cùng thời điểm chính quyền tiết lộ vụ bắt giữ và việc tháo dỡ mạng botnet.

Một số máy chủ chỉ huy và điều khiển (C2) liên quan đến botnet được đăng ký với tên miền cấp cao nhất (TLD) ".libre", là một phần của OpenNIC, một gốc DNS thay thế hoạt động độc lập với ICANN và đã được các botnet DDoS khác như CatDDoS và Fodcha sử dụng.

"Mặc dù botnet có thể đã bị vô hiệu hóa, nhưng các thiết bị bị xâm nhập vẫn dễ bị tấn công", báo cáo cho biết. "Có lẽ chỉ là vấn đề thời gian trước khi các máy chủ bị tấn công lần nữa và bị biến thành một nút bị xâm nhập cho botnet tiếp theo."