Azure von DDoS-Angriff mit 15 Tbps über 500.000 IPs getroffen

 (bleepingcomputer.com)
2 Punkte von GN⁺ 2025-11-18 | 1 Kommentare | Auf WhatsApp teilen
  • Das Aisuru-Botnet führte einen massiven DDoS-Angriff mit 15,72 Tbps gegen das Microsoft-Azure-Netzwerk aus
  • Der Angriff ging von mehr als 500.000 IP-Adressen aus und erreichte als UDP-Flood auf eine bestimmte öffentliche IP in Australien 3,6 Milliarden Pakete pro Sekunde
  • Aisuru ist ein IoT-Botnet aus der Turbo-Mirai-Familie und verbreitet sich über ISP-Netzwerke in mehreren Ländern, darunter die USA, indem es Heimrouter und Kameras missbraucht
  • Auch in früheren Angriffsfällen von Cloudflare und Qi’anxin wurde bestätigt, dass dasselbe Botnet an Angriffen im Umfang von 11,5 Tbps bis 22,2 Tbps beteiligt war
  • Der Fall zeigt die anhaltende Ausbreitung groß angelegter IoT-basierter DDoS-Bedrohungen über die gesamte Cloud-Infrastruktur hinweg

Überblick über den DDoS-Angriff mit 15,72 Tbps auf Azure

  • Microsoft gab bekannt, dass das Aisuru-Botnet einen DDoS-Angriff mit 15,72 Tbps gegen das Azure-Netzwerk ausgeführt hat

    • Der Angriff ging von mehr als 500.000 IP-Adressen aus
    • Bei der Angriffsart handelte es sich um einen schnellen UDP-Flood, der auf eine bestimmte öffentliche IP in Australien abzielte
    • Der Traffic erreichte etwa 3,64 Milliarden Pakete pro Sekunde (bpps)

  • Sean Whalen aus dem Microsoft-Azure-Sicherheitsteam erklärte, dass Aisuru ein IoT-Botnet auf Turbo-Mirai-Niveau sei, das
    durch die Infektion von Heimroutern und Kameras groß angelegte Angriffe auslöse

    • Es verbreitet sich hauptsächlich über private ISP-Netzwerke in den USA und anderen Ländern

  • Der Angriffs-Traffic wies kaum Source-Spoofing auf und nutzte zufällige Source-Ports

    • Dadurch wurden Rückverfolgung (traceback) und Blocking-Maßnahmen bei Providern erleichtert

Frühere Aktivitäten des Aisuru-Botnetzes

  • Cloudflare berichtete im September 2025, dass dasselbe Aisuru-Botnet einen DDoS-Angriff mit 22,2 Tbps ausgelöst habe

    • Dabei wurden 10,6 Milliarden Pakete pro Sekunde erreicht, und der Angriff dauerte etwa 40 Sekunden
    • Das entspricht einem Traffic-Volumen von 1 Million gleichzeitigen 4K-Videostreams

  • XLab des chinesischen Sicherheitsunternehmens Qi’anxin analysierte einen Angriff mit 11,5 Tbps als Werk des Aisuru-Botnetzes

    • Zu diesem Zeitpunkt standen etwa 300.000 Bots unter Kontrolle

Infektionsweg und Ausbreitung

  • Aisuru nutzt Sicherheitslücken in IP-Kameras, DVR/NVR, Realtek-Chips und Routern aus
    • Zu den betroffenen Herstellern gehören T-Mobile, Zyxel, D-Link und Linksys
  • Im April 2025 wurden durch die Kompromittierung des Firmware-Update-Servers von TotoLink-Routern rund 100.000 weitere Geräte infiziert
    • Ab diesem Zeitpunkt wuchs das Botnet sehr schnell

Reaktion von Cloudflare und Auswirkungen

  • Der Sicherheitsjournalist Brian Krebs berichtete, dass Cloudflare mit Aisuru verbundene Domains
    aus dem eigenen Ranking „Top Domains“ entfernt habe
    • Diese Domains lagen höher als legitime Websites wie Amazon, Microsoft und Google und verzerrten so das Ranking
  • Cloudflare erklärte, dass die Betreiber von Aisuru bösartige Anfragen in großer Zahl an den DNS-Dienst (1.1.1.1) gesendet hätten,
    um die Popularität der Domains künstlich zu erhöhen
    • CEO Matthew Prince sagte, dadurch sei das Ranking-System schwer verzerrt worden
    • Danach führte Cloudflare eine Richtlinie zur Nichtveröffentlichung verdächtiger Domains ein

Zunehmender Trend bei DDoS-Angriffen

  • Laut dem DDoS-Bericht von Cloudflare für das 1. Quartal 2025
    • stieg das Angriffsvolumen im Jahresvergleich um 358 % und im Quartalsvergleich um 198 %
    • wurden im Jahr 2024 insgesamt 21,3 Millionen Angriffe auf Kunden sowie 6,6 Millionen Angriffe auf die eigene Infrastruktur abgewehrt
    • wurden einige davon als 18 Tage andauernde Multi-Vektor-Angriffskampagnen identifiziert

Zusammenfassung

  • Das Aisuru-Botnet ist zu einer Infrastruktur für extrem große DDoS-Angriffe durch die Infektion von IoT-Geräten herangewachsen
  • Große Cloud-Anbieter wie Microsoft Azure und Cloudflare verteidigten sich gegen Angriffe in Rekordgröße
  • Manipulation von DNS-Diensten, Ausnutzung von IoT-Schwachstellen und global explodierender Traffic verbinden sich zu einem komplexen Bedrohungsbild
  • Der Fall zeigt die Notwendigkeit eines kontinuierlichen Ausbaus von Abwehrsystemen für Cloud- und Netzwerkanbieter

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-18
Hacker-News-Kommentare

  • Es ist interessant, dass das Aisuru-DDoS-Botnet staatliche oder militärische Einrichtungen meidet und stattdessen vor allem Online-Spiele angreift.
    Ich verstehe aber nicht, warum jemand Geld dafür ausgibt, Game-Server lahmzulegen. Was bringt es einem, wenn andere ein paar Stunden lang nicht spielen können?
    Zugehöriger Blogbeitrag

    • Letztlich geht es um Wut und Machtstreben. So eine Haltung nach dem Motto: „Wenn ich es nicht kann, kann es niemand.“ Teilweise werden Serverbetreiber auch erpresst, damit Angreifer Moderatorrechte bekommen.
      In anderen Fällen werden konkurrierende Server angegriffen, um Einnahmen aus dem Verkauf von kostenpflichtigen Items oder Rängen zu monopolisieren.
    • E-Sport-Wetten sind ein großer Faktor. Tatsächlich gab es auch bei einem Fortnite-Turnier Fälle, in denen DDoS eingesetzt wurde, um Gegner zu benachteiligen.
    • Manche zielen auf Marktmanipulation im Spiel ab. In Spielen mit handelbarer Währung oder Items beeinflusst ein Serverausfall die Preise.
      In anderen Fällen geht es darum, Events oder Turniere zu stören, oder einfach um Trolling aus Groll gegen die Entwickler.
    • Möglicherweise ist nicht das Spiel selbst der Hauptgrund, sondern Konkurrenz zwischen Wettseiten. Wenn man eine konkurrierende Seite für ein paar Stunden lahmlegt, geht es um viel Geld.
      Auch in einem aktuellen Video von CoffeeZilla wurden solche merkwürdigen Praktiken bei Gaming-Casinos erwähnt.
    • Noch einmal: Der E-Sport-Wettmarkt ist riesig, deshalb passiert so etwas.

  • In verwandten Artikeln sieht man, dass sich das Aisuru-Botnet weiterentwickelt, etwa indem es aus Cloudflares Liste wichtiger Domains entfernt wurde oder auf Residential Proxies umstellt.

  • Im April 2025 wurde der Firmware-Server von TotoLink gehackt, wobei 100.000 Router infiziert wurden.
    Open-Source-Projekte wie OpenWRT sind gut, aber ich frage mich, wer die Server-Sicherheit schützt. Ob sich das mit digitalen Signaturen verhindern ließe?

    • OpenWRT schützt Firmware und Pakete mit digitalen Signaturen. Man kann die Signaturen auch vor dem Update selbst verifizieren.
      Wenn die Infektion aber nach dem Build und vor dem Signieren erfolgt, ist weiterhin massiver Schaden möglich, daher sind reproduzierbare Builds (reproducible builds) wichtig.
      OpenWRT-Sicherheitsdokumentation
    • Auch private Unternehmen investieren in der Praxis oft nur das absolute Minimum an Sicherheitspersonal. Kommerzielle Router sind oft sogar noch verwundbarer.
    • Deshalb ist bei OpenWRT Auto-Update standardmäßig deaktiviert.
    • Open-Source-Repositories werden von Hunderten beobachtet, Unternehmens-Build-Server dagegen vielleicht von ein oder zwei Leuten.
    • Jemand weist darauf hin, dass diese Diskussion einfach die eigentliche Frage verwässert, nach dem Muster: „Aber was ist mit Sicherheit?“

  • DDoS wird oft genutzt, um die Aufmerksamkeit von Sicherheitsteams abzulenken. Im entstehenden Chaos werden dann unauffälligere Angriffe durchgeführt.

    • Ob das allerdings „oft“ vorkommt, ist fraglich. Während der DDoS-Abwehr werden Sicherheitskonfigurationen nicht gelockert, daher ist das möglicherweise keine effiziente Strategie.
    • Interessant ist, dass es laut Microsoft selbst bei einem Rekordangriff keine Verzögerungen im Dienst gab. Man scherzte auch, vielleicht habe es nur niemand bemerkt, weil alles ohnehin langsam sei.

  • IoT bleibt weiterhin eine Welle schlecht abgesicherter Geräte. Es braucht einen besseren Ansatz.

    • Wenn ISPs die von Kunden verwendeten Router einschränken würden, wäre die Sicherheit zwar besser, aber der Verlust an Freiheit wäre problematisch.
    • Wie in dem Witz „Das S in IoT steht für Security“ zeigt sich hier ein strukturelles Problem fehlender Sicherheit.
    • Auf die Aussage „Wir brauchen einen besseren Weg“ kam auch die zynische Reaktion: „Vorher kommt noch eine größere Welle.“
    • Es gibt auch die Einschätzung, dass Europas Pflicht zu automatischen Sicherheitsupdates paradoxerweise zur Ausbreitung von Botnets beigetragen hat. Wenn Update-Server kompromittiert werden, infizieren sich Hunderttausende Geräte gleichzeitig.

  • Ich habe versucht, den Blog aufzurufen, bekam aber einen Proxy-Fehler. Ironischerweise wirkt es, als sei ausgerechnet der betreffende Beitrag durch DDoS blockiert worden.

  • Ich verstehe nicht, warum es keine internationale Behörde für Cyberkriminalität gibt. So etwas könnte solche bösartigen Aktivitäten doch stoppen.

    • Wegen Fragen der staatlichen Souveränität und politischer Interessen ist das unrealistisch. Manche Staaten profitieren sogar von solcher Kriminalität.
    • Tatsächlich gibt es bereits fortlaufend internationale Zusammenarbeit bei Ermittlungen. Aber wegen politischer Beschränkungen würde auch eine neue Behörde wohl nicht viel ändern.
    • Selbst bestehende Organisationen wie die UN konnten Krieg, Menschenhandel und Geldwäsche nicht vollständig verhindern. Es wäre zwar besser als völlige Gesetzlosigkeit, hätte aber klare Grenzen.
    • China und Russland hoffen auf Misserfolge des Westens. Unter solchen Umständen ist Zusammenarbeit schwer zu erwarten.
    • Wie in dem Witz „Team America, World Police?“ angedeutet, bräuchte selbst eine internationale Polizei eher einen präventiven statt nur abschreckenden Ansatz.
      Man könnte zum Beispiel Verträge mit verpflichtenden Sicherheitsstandards schaffen; dadurch gäbe es weniger verwundbare Consumer-Router und der DDoS-Markt könnte insgesamt schrumpfen.
      Aber Kriminelle greifen nicht die Starken, sondern die Schwachen an, deshalb bekommt das gesellschaftlich wenig Aufmerksamkeit.

  • Es ist schade, dass man mit so vielen Nodes nicht etwas Beeindruckendes aufbaut, sondern sie nur nutzt, um das eigene Ego zu befriedigen.
    Man könnte Netzwerke wie Tor oder verteilte Archivsysteme bauen, stattdessen wird das alles für Kriminalität verschwendet.

  • Mir kommt die Frage „Cui bono?“ in den Sinn. Ob sich solche Großangriffe wirklich lohnen? Vielleicht steckt irgendwo doch eine Lösegeldforderung dahinter.

    • In Wirklichkeit sind die Kosten nahezu null. Seit Monaten werden wahllos Dinge wie Minecraft-Server angegriffen.

  • Es wirkt seltsam, dass nur ein Endpoint in Australien angegriffen wurde. Warum setzt man den weltweit größten DDoS gerade dort ein?
    Mit CDN gäbe es doch eigentlich Redundanz; ich frage mich, wer dafür bezahlt hat und was dabei herauskommen sollte.

    • DDoS ist kein Signal, sondern Lärm. Das Ziel könnte sein, die Logs zu überfluten und so das eigentliche Angriffsziel zu verbergen. APT28/29 nutzen so eine Strategie.
    • Oder es war einfach nur ein emotionaler Streit unter australischen Gamern. Es fiel sogar der scherzhafte Kommentar: „Simmo war sauer, weil Jonno mit seiner Schwester Schluss gemacht hat.“
    • Tatsächlich passieren solche Angriffe jeden Tag, und die meisten werden mit Abwehrlösungen wie Cloudflare Magic Transit gestoppt.
      Man sollte also vielleicht nicht zu viel Bedeutung hineinlesen.