Azure पर 15Tbps के DDoS हमले में 5 लाख IP से हमला

 (bleepingcomputer.com)
2 पॉइंट द्वारा GN⁺ 2025-11-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Aisuru botnet ने Microsoft Azure नेटवर्क को निशाना बनाकर प्रति सेकंड 15.72Tbps का बड़े पैमाने का DDoS हमला किया
  • यह हमला 5 लाख से अधिक IP addresses से आया और ऑस्ट्रेलिया में एक विशेष public IP की ओर UDP flood के रूप में प्रति सेकंड 3.6 अरब packets तक पहुंचा
  • Aisuru एक Turbo Mirai परिवार का IoT botnet है, जो घरेलू routers और cameras का दुरुपयोग कर अमेरिका समेत कई देशों के ISP networks के जरिए फैलता है
  • Cloudflare और Qi’anxin के पिछले हमलों के मामलों में भी यही botnet 11.5Tbps से 22.2Tbps के हमलों में शामिल पाया गया
  • यह मामला cloud infrastructure में बड़े पैमाने पर IoT-आधारित DDoS खतरों के लगातार फैलाव को दिखाता है

Azure पर 15.72Tbps DDoS हमले का अवलोकन

  • Microsoft ने घोषणा की कि Aisuru botnet ने Azure नेटवर्क पर प्रति सेकंड 15.72Tbps का DDoS हमला किया

    • हमला 5 लाख से अधिक IP addresses से आया
    • हमले का प्रकार high-speed UDP flood था, जिसने ऑस्ट्रेलिया में एक विशेष public IP को निशाना बनाया
    • ट्रैफिक लगभग 3.64 अरब packets per second (bpps) तक पहुंचा

  • Microsoft Azure security team के Sean Whalen ने बताया कि Aisuru एक Turbo Mirai-स्तर का IoT botnet है,
    जो घरेलू routers और cameras को संक्रमित कर बड़े हमले करता है

    • यह मुख्य रूप से अमेरिका और अन्य देशों के residential ISP networks के जरिए फैलता है

  • हमले के ट्रैफिक में source spoofing लगभग नहीं थी और random source ports का उपयोग किया गया

    • इससे traceback और provider-level blocking measures आसान हो गए

Aisuru botnet की पिछली गतिविधियां

  • Cloudflare ने सितंबर 2025 में रिपोर्ट किया कि इसी Aisuru botnet ने 22.2Tbps का DDoS हमला किया था

    • यह प्रति सेकंड 10.6 अरब packets तक पहुंचा और लगभग 40 सेकंड तक चला
    • यह ट्रैफिक मात्रा 10 लाख 4K वीडियो streams के एक साथ चलने के बराबर थी

  • चीन की security company Qi’anxin की XLab ने 11.5Tbps के हमले को Aisuru botnet का काम बताया

    • उस समय लगभग 3 लाख bots नियंत्रित किए जा रहे थे

संक्रमण का रास्ता और फैलाव

  • Aisuru ने IP cameras, DVR/NVR, Realtek chips, और routers की security vulnerabilities का दुरुपयोग किया
    • निशाने पर आए manufacturers में T-Mobile, Zyxel, D-Link, Linksys शामिल थे
  • अप्रैल 2025 में TotoLink router firmware update server से समझौता होने के जरिए लगभग 1 लाख डिवाइस अतिरिक्त रूप से संक्रमित हुए
    • इसके बाद botnet का आकार तेजी से बढ़ा

Cloudflare की प्रतिक्रिया और प्रभाव

  • security journalist Brian Krebs ने रिपोर्ट किया कि Cloudflare ने Aisuru से जुड़े domains को
    अपनी “Top Domains” ranking से हटा दिया
    • ये domains Amazon, Microsoft, Google जैसी वैध sites से भी ऊपर पहुंचकर ranking को विकृत कर रहे थे
  • Cloudflare ने बताया कि Aisuru operators ने DNS service (1.1.1.1) पर बड़ी मात्रा में malicious queries भेजकर
    domain popularity को कृत्रिम रूप से बढ़ाया
    • CEO Matthew Prince ने कहा कि इससे ranking system गंभीर रूप से विकृत हो गया
    • इसके बाद Cloudflare ने suspicious domains को non-public करने की policy लागू की

DDoS हमलों में बढ़ोतरी का रुझान

  • Cloudflare की 2025 की पहली तिमाही की DDoS रिपोर्ट के अनुसार
    • हमलों की संख्या साल-दर-साल 358% बढ़ी और तिमाही-दर-तिमाही 198% बढ़ी
    • 2024 के दौरान ग्राहकों पर 2,130万 हमले और अपने infrastructure पर 660万 हमले रोके गए
    • इनमें से कुछ 18 दिनों तक चलने वाले multi-vector attack campaigns थे

सारांश

  • Aisuru botnet IoT डिवाइस संक्रमण के जरिए अत्यंत बड़े DDoS हमलों के infrastructure में बदल गया है
  • Microsoft Azure और Cloudflare जैसे बड़े cloud providers ने अब तक के सबसे बड़े हमलों को रोका
  • DNS service manipulation, IoT vulnerabilities का दुरुपयोग, और global traffic surge मिलकर एक जटिल खतरे का रूप दिखाते हैं
  • यह cloud और network providers के लिए लगातार रक्षा तंत्र मजबूत करने की जरूरत को दिखाने वाला मामला है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-18
Hacker News राय

  • यह दिलचस्प है कि Aisuru DDoS botnet सरकार या सैन्य संस्थानों से बचता है और मुख्य रूप से online games को निशाना बनाता है
    लेकिन यह समझ नहीं आता कि कोई पैसे देकर game server क्यों डाउन करवाएगा। कुछ घंटों तक लोगों को गेम न खेलने देने से आखिर हासिल क्या होता होगा, यही सवाल उठता है
    संबंधित ब्लॉग पोस्ट

    • आखिरकार वजह गुस्सा और ताकत दिखाने की इच्छा होती है। “मैं नहीं कर सकता तो कोई नहीं करेगा” जैसी मानसिकता के साथ, server operator को धमकाकर mod अधिकार भी मांगे जाते हैं
      दूसरे मामलों में, प्रतिद्वंद्वी server पर हमला करके paid items या rank-selling revenue पर एकाधिकार जमाने का मकसद भी होता है
    • eSports betting भी एक बड़ा कारण है। वास्तव में Fortnite tournament में भी प्रतिद्वंद्वी को नुकसान पहुंचाने के लिए DDoS इस्तेमाल होने का मामला सामने आया था
    • कुछ लोग game के भीतर market manipulation करना चाहते हैं। जिन games में tradeable currency या items होते हैं, उनमें server outage का असर कीमतों पर पड़ता है
      कुछ मामलों में event या tournament बिगाड़ना, या सिर्फ developers से दुश्मनी निकालने वाली trolling भी वजह हो सकती है
    • game से ज्यादा बड़ी वजह betting sites के बीच competition भी हो सकती है। अगर कुछ घंटों के लिए rival site डाउन हो जाए तो बड़े पैसे का लेन-देन प्रभावित होता है
      हाल की CoffeeZilla video में भी ऐसे gaming casinos के अजीब तौर-तरीकों का जिक्र था
    • फिर से कहें तो, eSports betting market इतना बड़ा है कि ऐसी घटनाएं होती हैं

  • संबंधित खबरों को देखें तो Aisuru botnet लगातार विकसित हो रहा है, जैसे Cloudflare की top domains list से हटाया जाना या residential proxies पर शिफ्ट होना

  • अप्रैल 2025 में TotoLink firmware server हैक हुआ था और 1 लाख routers संक्रमित हो गए थे
    open source projects (जैसे OpenWRT) अच्छे हैं, लेकिन server security की जिम्मेदारी कौन लेता है, यह चिंता की बात है। सवाल उठता है कि क्या इसे digital signatures से रोका जा सकता है

    • OpenWRT firmware और packages को digital signatures से सुरक्षित करता है। update से पहले signatures को सीधे verify भी किया जा सकता है
      लेकिन अगर build के बाद और signing से पहले infection हो जाए, तो बड़े पैमाने पर नुकसान संभव है, इसलिए reproducible builds महत्वपूर्ण हैं
      OpenWRT security docs
    • निजी कंपनियां भी वास्तव में security staff में न्यूनतम निवेश ही करती हैं। commercial routers कई बार और ज्यादा कमजोर साबित होते हैं
    • इसी वजह से OpenWRT में automatic updates default रूप से disabled हैं
    • open source repositories पर सैकड़ों लोग नजर रखते हैं, लेकिन corporate build servers को शायद एक-दो लोग ही देखते हों
    • किसी ने यह भी कहा कि यह चर्चा सिर्फ “security का क्या” जैसी मुद्दे से भटकाने वाली बात बनकर रह जाती है

  • DDoS का इस्तेमाल अक्सर security teams का ध्यान भटकाने के लिए भी किया जाता है। इस अफरातफरी में ज्यादा छिपे हुए हमले किए जाते हैं

    • लेकिन यह “अक्सर” होता है या नहीं, इस पर संदेह है। DDoS response के दौरान security settings ढीली नहीं की जातीं, इसलिए यह जरूरी नहीं कि बहुत प्रभावी रणनीति हो
    • यह दिलचस्प है कि MS पर record स्तर का हमला हुआ, फिर भी services में कोई latency नहीं आई। इस पर यह मजाक भी हुआ कि शायद वे पहले से ही धीमी थीं इसलिए किसी को फर्क नहीं पड़ा

  • IoT अब भी कमजोर सुरक्षा वाले devices की एक लहर है। बेहतर तरीका चाहिए

    • अगर ISP ग्राहकों द्वारा इस्तेमाल किए जाने वाले routers को सीमित करें तो security बेहतर हो सकती है, लेकिन आजादी कम होने की चिंता भी है
    • “IoT का S, Security का S है” वाले मजाक की तरह, यह security के गायब होने की एक संरचनात्मक समस्या है
    • “बेहतर तरीका चाहिए” पर किसी ने तंज कसा कि “उससे पहले इससे भी बड़ी लहर आएगी”
    • यह विश्लेषण भी है कि यूरोप की automatic security updates अनिवार्य करने वाली नीति उल्टे botnet फैलने का कारण बनी। अगर update server हैक हो जाए, तो लाखों devices एक साथ संक्रमित हो सकते हैं

  • ब्लॉग खोलने की कोशिश की तो proxy error मिला। विडंबना यह रही कि संबंधित लेख शायद खुद DDoS की वजह से ही नहीं खुल रहा था

  • यह समझ नहीं आता कि अंतरराष्ट्रीय cybercrime के लिए समर्पित कोई एजेंसी क्यों नहीं है। लगता है कि इससे ऐसी दुर्भावनापूर्ण गतिविधियों को रोका जा सकता था

    • अलग-अलग देशों की sovereignty और राजनीतिक हितों के कारण यह लगभग असंभव है। कुछ देशों को ऐसे अपराधों से लाभ भी मिलता है
    • वास्तव में अंतरराष्ट्रीय सहयोग से जांचें लगातार होती रहती हैं। लेकिन राजनीतिक सीमाओं के कारण नई एजेंसी बन भी जाए तो बहुत बड़ा बदलाव शायद न हो
    • UN जैसे मौजूदा संगठन भी युद्ध, मानव तस्करी, और money laundering को पूरी तरह नहीं रोक पाए हैं। फिर भी पूरी अराजकता से बेहतर हैं, लेकिन उनकी सीमाएं हैं
    • चीन और रूस पश्चिम की असफलता देखना चाहते हैं। ऐसी स्थिति में सहयोग की उम्मीद करना मुश्किल है
    • “Team America, World Police?” वाले मजाक की तरह, अगर अंतरराष्ट्रीय पुलिस बने भी, तो deterrence से ज्यादा prevention-केंद्रित approach की जरूरत होगी
      उदाहरण के लिए, अगर security standards को अनिवार्य करने वाली संधि बने, तो कमजोर consumer routers कम होंगे और DDoS बाजार खुद छोटा पड़ सकता है
      लेकिन अपराधी ताकतवर के बजाय कमजोर लक्ष्यों पर हमला करते हैं, इसलिए इस पर सामाजिक ध्यान भी कम जाता है

  • इतने सारे nodes होते हुए भी लोग उनसे शानदार तकनीक बनाने के बजाय सिर्फ अहंकार संतुष्ट करने के लिए उनका इस्तेमाल करते हैं, यह अफसोस की बात है
    Tor जैसे network या distributed archive systems भी बनाए जा सकते थे, लेकिन आखिरकार यह सब अपराध में बर्बाद हो रहा है

  • “इससे फायदा किसे हो रहा है (Cui bono)?” यह सवाल उठता है। इतने बड़े हमले सच में क्या वाजिब हैं? कहीं ransom demand तो छिपी नहीं है

    • असल में लागत लगभग शून्य है। कई महीनों से Minecraft servers जैसी जगहों पर यूं ही random हमले किए जा रहे हैं

  • यह अजीब लगता है कि सिर्फ ऑस्ट्रेलिया के एक endpoint को निशाना बनाया गया। दुनिया के सबसे बड़े DDoS में से एक को वहां क्यों इस्तेमाल किया गया?
    अगर CDN था, तो संरचना में redundancy भी रही होगी, इसलिए सवाल उठता है कि किसने पैसे दिए और बदले में क्या पाया

    • DDoS संकेत नहीं बल्कि शोर होता है। हमले का मकसद logs को भरकर असली लक्ष्य छिपाना भी हो सकता है। APT28/29 ऐसी रणनीति का इस्तेमाल करते हैं
    • या फिर यह बस ऑस्ट्रेलियाई gamers के बीच आपसी रंजिश भी हो सकती है। “Simmo, Jonno की बहन से ब्रेकअप कर चुका था इसलिए गुस्से में था” जैसी मजाकिया बात भी कही गई
    • हकीकत यह है कि ऐसे हमले हर दिन होते हैं, और ज्यादातर को Cloudflare Magic Transit जैसी defense solutions से रोक दिया जाता है।
      इसलिए इसमें जरूरत से ज्यादा गहरे मतलब ढूंढने की जरूरत नहीं है