Günümüz internet dünyasının can sıkıcı bir gerçeği haline gelen dağıtık hizmet aksatma (DDoS) saldırıları, ele geçirilmiş cihazlardan oluşan botnet ağları sayesinde giderek daha geniş bir alana yayılıyor. Ne yazık ki, bu saldırıların boyutu ve sıklığı da artış gösteriyor. Aisuru-Kimwolf botneti, geçtiğimiz Aralık ayında 31.4 Tbps'lik bir hızla önceki rekorunu kırarak dikkat çekti. Bu rakamı daha anlaşılır hale getirmek gerekirse, aynı anda yaklaşık 2.2 milyon Netflix 4K filminin yayınlanabilecek bant genişliğine denk geliyor.
Bu boyuttaki bir saldırı, birçok internet servis sağlayıcısını ve hatta tüm ülkeleri çevrimdışı bırakabilecek kapasitede. Yapılan bir analizde, bu saldırıların mevcut müşterileri, yönetim panellerini ve altyapıyı hedef alan benzeri görülmemiş bir bombardıman olduğu belirtiliyor. Bu saldırıların, saniyelerden dakikalara kadar süren, aniden ve her yere aynı anda vuran devasa trafik patlamaları şeklinde gerçekleştirildiği ifade ediliyor.
Ayrıca, Aisuru ve Kimwolf botnetlerinin büyümesi sayesinde saldırı potansiyelinin bir yılda 7 kat arttığına dikkat çekiliyor. Aisuru, 'ana' botnet olarak kabul ediliyor ve genellikle IoT cihazları, DVR'lar ve hatta barındırma hizmetlerindeki sanal makineler gibi küçük, internete bağlı cihazlardan oluşuyor. Bu cihazların çoğunlukla ABD'de bulunduğu tahmin ediliyor. Botnetin, varsayılan kimlik bilgileri (örneğin, kullanıcı adı "admin", şifre "admin") ve bilinen güvenlik açıklarına sahip güncel olmayan aygıt yazılımları aracılığıyla yeni cihazlara erişim sağlayarak büyüdüğü belirtiliyor.
Kimwolf'e gelince, Aisuru'nun bir varyantı olarak görülebilir ve özellikle Android tabanlı cihazları hedef alıyor; bunlar arasında güncel olmayan yazılımlara sahip mobil telefonlar, kötü amaçlı uygulamalar, akıllı TV'ler ve TV kutuları bulunuyor. Bu botnetin milyonlarca cihazının büyük çoğunluğunun Brezilya, Hindistan ve Suudi Arabistan'da bulunduğu aktarılıyor.
Botnet operatörlerinin ilginç bir ekonomik döngüsü bulunuyor. Botnetlere erişimi, bazen şaşırtıcı derecede düşük fiyatlarla, on binlerce dolara diğer siber suçlulara satıyorlar. Bu kiralayanlar daha sonra botneti kötü amaçlı yazılımlarını yaymak, spam göndermek veya o gün için planlanan diğer zararlı faaliyetleri gerçekleştirmek için kullanıyor. Elde edilen gelirler, botneti daha da genişletmeye yardımcı oluyor.
Aisuru-Kimwolf ağının "parazitik" olduğu ve sahiplerinin saldırganlara gizlenme katmanı sağlayan "konut proxy"leri kiraladığı da belirtiliyor. Bu terim, bir konut ortamındaki bir dizi cihazı tanımlıyor.
Teknik açıdan bakıldığında, UDP carpet-bombing'in en yaygın kullanılan teknik olduğu ve geçtiğimiz Aralık ayındaki 31.4 Tbps'lik saldırıda da bu yöntemin kullanıldığı ifade ediliyor. Bu teknik, saldırı yüzeyini o kadar geniş bir şekilde yayıyor ki, savunmacıların engellemesi zorlaşıyor. Birleşik botnetin ayrıca, çevrimiçi hizmetlere devasa miktarda meşru görünen istekler göndererek, hedef ağını veya hesaplama kapasitesini aşırı yükleyen hiper-volumetrik HTTP saldırılarıyla oyun hizmetlerini de hedef aldığı ekleniyor.
