Azure touché par une attaque DDoS de 15 Tbps depuis 500 000 adresses IP

 (bleepingcomputer.com)
2 points par GN⁺ 2025-11-18 | 1 commentaires | Partager sur WhatsApp
  • Le botnet Aisuru a mené une attaque DDoS massive de 15,72 Tbps contre le réseau Microsoft Azure
  • L’attaque provenait de plus de 500 000 adresses IP et prenait la forme d’un flood UDP visant une IP publique spécifique en Australie, atteignant 3,64 milliards de paquets par seconde
  • Aisuru est un botnet IoT de la famille Turbo Mirai qui se propage via les réseaux ISP de plusieurs pays, dont les États-Unis, en exploitant des routeurs domestiques et des caméras
  • De précédents incidents rapportés par Cloudflare et Qi’anxin ont également confirmé l’implication du même botnet dans des attaques de 11,5 Tbps à 22,2 Tbps
  • Un cas qui met en lumière la propagation continue de la menace DDoS à grande échelle fondée sur l’IoT dans l’ensemble des infrastructures cloud

Aperçu de l’attaque DDoS de 15,72 Tbps visant Azure

  • Microsoft a annoncé que le botnet Aisuru avait mené une attaque DDoS de 15,72 Tbps contre le réseau Azure

    • L’attaque provenait de plus de 500 000 adresses IP
    • Le type d’attaque était un flood UDP à haute vitesse, visant une IP publique spécifique en Australie
    • Le trafic a atteint environ 3,64 milliards de paquets par seconde (bpps)

  • Sean Whalen, de l’équipe sécurité de Microsoft Azure, a expliqué qu’Aisuru est un botnet IoT de classe Turbo Mirai qui
    infecte des routeurs domestiques et des caméras pour lancer des attaques à grande échelle

    • Il se propage principalement via les réseaux ISP résidentiels aux États-Unis et dans d’autres pays

  • Le trafic d’attaque présentait très peu de spoofing de source et utilisait des ports source aléatoires

    • Cela a facilité le traçage (traceback) et les mesures de blocage côté fournisseurs

Activité antérieure du botnet Aisuru

  • Cloudflare a indiqué qu’en septembre 2025, le même botnet Aisuru avait provoqué une attaque DDoS de 22,2 Tbps

    • Elle a atteint 10,6 milliards de paquets par seconde et a duré environ 40 secondes
    • Cela correspond à un volume de trafic équivalent à 1 million de flux vidéo 4K diffusés simultanément

  • XLab, du groupe de sécurité chinois Qi’anxin, a attribué une attaque de 11,5 Tbps au botnet Aisuru

    • Environ 300 000 bots étaient alors sous contrôle

Vecteurs d’infection et propagation

  • Aisuru exploite des vulnérabilités de sécurité touchant des caméras IP, DVR/NVR, puces Realtek et routeurs
    • Parmi les fabricants visés figurent T-Mobile, Zyxel, D-Link et Linksys
  • En avril 2025, environ 100 000 appareils supplémentaires ont été infectés à la suite de la compromission du serveur de mise à jour du firmware des routeurs TotoLink
    • Après ce point, l’ampleur du botnet a augmenté rapidement

Réponse de Cloudflare et impact

  • Le journaliste sécurité Brian Krebs a rapporté que Cloudflare avait retiré les domaines liés à Aisuru de son classement
    « Top Domains »
    • Ces domaines se classaient au-dessus de sites légitimes comme Amazon, Microsoft et Google, faussant ainsi le classement
  • Cloudflare a expliqué que les opérateurs d’Aisuru envoyaient en masse des requêtes malveillantes vers son service DNS (1.1.1.1) afin
    d’augmenter artificiellement la popularité de leurs domaines
    • Le CEO Matthew Prince a indiqué que cela avait gravement faussé le système de classement
    • Cloudflare a ensuite mis en place une politique de non-publication des domaines suspects

Tendance à la hausse des attaques DDoS

  • Selon le rapport DDoS de Cloudflare pour le 1er trimestre 2025
    • le volume des attaques a augmenté de 358 % sur un an et de 198 % d’un trimestre à l’autre
    • en 2024, 21,3 millions d’attaques visant ses clients et 6,6 millions visant sa propre infrastructure ont été bloquées
    • certaines faisaient partie de campagnes d’attaques multivecteurs ayant duré 18 jours

Résumé

  • Le botnet Aisuru est devenu une infrastructure d’attaque DDoS géante reposant sur l’infection d’appareils IoT
  • Des grands fournisseurs cloud comme Microsoft Azure et Cloudflare ont repoussé des attaques d’une ampleur record
  • Il s’agit d’une menace complexe combinant manipulation de services DNS, exploitation de vulnérabilités IoT et explosion du trafic mondial
  • Ce cas montre la nécessité de renforcer en continu les dispositifs de défense chez les fournisseurs cloud et réseau

À lire aussi

1 commentaires

 
GN⁺ 2025-11-18
Avis Hacker News

  • Il est intéressant de voir que le botnet DDoS Aisuru évite les institutions gouvernementales ou militaires et cible surtout les jeux en ligne
    Mais je ne comprends pas pourquoi quelqu’un paierait pour faire tomber des serveurs de jeu. Qu’est-ce qu’on y gagne en empêchant les gens de jouer pendant quelques heures ?
    Article de blog connexe

    • Au fond, la raison, c’est la colère et la volonté de puissance. Une mentalité du genre « si je ne peux pas en profiter, personne ne le pourra », avec parfois du chantage envers les opérateurs de serveurs pour exiger des droits de modération
      Dans d’autres cas, il s’agit aussi d’attaquer des serveurs concurrents pour monopoliser les revenus liés à la vente d’objets payants ou de rangs
    • Les paris sur l’esport sont une raison majeure. Il y a eu de vrais cas d’utilisation de DDoS pour désavantager des concurrents, notamment lors d’un tournoi Fortnite
    • Certains visent la manipulation de marché dans le jeu. Dans les jeux avec monnaie ou objets échangeables, une interruption de serveur peut affecter les prix
      Dans d’autres cas, il peut s’agir de perturber un événement ou un tournoi, ou simplement de troll par rancune envers les développeurs
    • Il est aussi possible que la vraie raison soit moins le jeu lui-même que la concurrence entre sites de paris. Mettre un site concurrent hors ligne pendant quelques heures peut faire circuler beaucoup d’argent
      Une récente vidéo de CoffeeZilla évoquait aussi les comportements étranges de ces casinos gaming
    • Encore une fois, c’est parce que le marché des paris sur l’esport est devenu énorme que ce genre de choses arrive

  • D’après les articles liés, le botnet Aisuru continue d’évoluer, par exemple en étant retiré de la liste des principaux domaines de Cloudflare ou en basculant vers des proxys résidentiels

  • En avril 2025, le serveur de firmware de TotoLink a été piraté, et 100 000 routeurs ont été infectés
    Les projets open source comme OpenWRT sont bien, mais on peut se demander qui protège réellement les serveurs. Est-ce qu’une signature numérique suffirait à empêcher ça ?

    • OpenWRT protège les firmwares et les paquets par signature numérique. Il est même possible de vérifier soi-même la signature avant la mise à jour
      Mais si l’infection a lieu après la compilation et avant la signature, des dégâts massifs restent possibles, d’où l’importance des reproducible builds
      Documentation sécurité d’OpenWRT
    • En réalité, les entreprises privées aussi n’investissent que le strict minimum dans les équipes sécurité. Les routeurs commerciaux sont souvent encore plus vulnérables
    • C’est aussi pour cela qu’OpenWRT désactive les mises à jour automatiques par défaut
    • Les dépôts open source sont surveillés par des centaines de personnes, alors que les serveurs de build d’entreprise ne sont parfois regardés que par une ou deux
    • Quelqu’un fait remarquer que cette discussion ressemble peut-être simplement à une diversion du débat du type « et la sécurité alors ? »

  • Les DDoS servent souvent à distraire l’attention des équipes sécurité. Pendant la confusion, d’autres attaques plus discrètes peuvent être lancées

    • Mais on peut douter que cela arrive si souvent. Comme on n’assouplit pas les paramètres de sécurité pendant une réponse à un DDoS, ce n’est peut-être pas une stratégie très efficace
    • Il est intéressant de voir que, même face à une attaque record, les services de Microsoft n’ont montré aucune latence. Certains plaisantent en disant qu’ils étaient peut-être déjà lents de toute façon

  • L’IoT reste une vague d’appareils mal sécurisés. Il faut une meilleure approche

    • Si les FAI limitaient les routeurs utilisables par leurs clients, la sécurité y gagnerait, mais la perte de liberté poserait problème
    • Comme dans la blague « le S de IoT veut dire Security », le problème est structurellement lié à l’absence de sécurité
    • À l’idée qu’« il faut une meilleure approche », certains répondent avec cynisme qu’« avant cela, une vague encore plus grosse arrivera »
    • Certains estiment aussi que l’obligation européenne des mises à jour de sécurité automatiques a paradoxalement favorisé la propagation des botnets. Si le serveur de mise à jour est compromis, des centaines de milliers d’appareils peuvent être infectés en même temps

  • J’ai essayé d’ouvrir le blog, mais j’ai eu une erreur de proxy. Ironiquement, on aurait dit que l’article en question était lui-même bloqué par un DDoS

  • Je ne comprends pas pourquoi il n’existe pas de structure internationale dédiée à la cybercriminalité. On pourrait pourtant mieux empêcher ce genre d’activités malveillantes

    • C’est impossible à cause des questions de souveraineté et des intérêts politiques de chaque pays. Certains États tirent même profit de ce type de criminalité
    • En pratique, les enquêtes en coopération internationale existent déjà de façon continue. Mais à cause des contraintes politiques, la création d’une nouvelle agence ne changerait probablement pas grand-chose
    • Même des organisations existantes comme l’ONU n’ont pas réussi à empêcher totalement la guerre, la traite des êtres humains ou le blanchiment d’argent. C’est sans doute mieux que l’absence totale de règles, mais il y a des limites évidentes
    • La Chine et la Russie souhaitent l’échec de l’Occident. Dans un tel contexte, il est difficile d’espérer une vraie coopération
    • Comme dans la blague « Team America, World Police? », même si une police internationale existait, il faudrait une approche centrée sur la prévention plutôt que sur la dissuasion
      Par exemple, un traité imposant des normes de sécurité pourrait réduire le nombre de routeurs grand public vulnérables et, par ricochet, la taille du marché du DDoS
      Mais comme les criminels s’attaquent aux faibles plutôt qu’aux puissants, le sujet suscite peu d’attention collective

  • C’est dommage de voir autant de nœuds disponibles sans qu’ils servent à construire quelque chose de remarquable, et qu’ils ne soient utilisés que pour flatter l’ego de certains
    On pourrait imaginer des réseaux comme Tor ou des systèmes d’archives distribuées, mais tout cela est finalement gaspillé dans la criminalité

  • La question « à qui profite le crime ? » vient à l’esprit. On peut se demander si des attaques de cette ampleur ont vraiment une valeur. Y a-t-il peut-être une demande de rançon cachée derrière tout ça ?

    • En réalité, le coût est presque nul. Cela fait des mois qu’ils attaquent au hasard des choses comme des serveurs Minecraft

  • Le fait qu’« un seul endpoint australien ait été attaqué » semble étrange. Pourquoi utiliser l’un des plus gros DDoS du monde pour ça ?
    S’il y a un CDN, l’architecture est censée être redondante, alors qui paie pour cela et dans quel but ?

    • Un DDoS n’est pas un signal, c’est du bruit. Le but peut être de noyer les logs pour masquer la véritable cible. APT28/29 utilisent ce type de stratégie
    • Ou alors, ce n’est peut-être qu’une simple embrouille entre gamers australiens. Certains plaisantent même avec des histoires du genre « Simmo est furieux parce que Jonno a quitté sa sœur »
    • En réalité, ce genre d’attaque arrive tous les jours, et la plupart sont stoppées par des solutions de défense comme Cloudflare Magic Transit
      Selon cet avis, il ne faut pas forcément chercher un sens trop profond à chaque cas