Alles rund um Windows

Microsoft: Azure von 15-Tbps-DDoS-Angriff mit 500.000 IP-Adressen betroffen

Microsoft gab bekannt, dass das Aisuru-Botnetz sein Azure-Netzwerk mit einem DDoS-Angriff von 15,72 Terabit pro Sekunde (Tbps) angegriffen hat, der von über 500.000 IP-Adressen aus gestartet wurde.

Der Angriff erfolgte mit extrem hohen UDP-Floods, die auf eine bestimmte öffentliche IP-Adresse in Australien abzielten und fast 3,64 Milliarden Pakete pro Sekunde (bpps) erreichten.

Der Angriff ging vom Aisuru-Botnetz aus. Aisuru ist ein IoT-Botnetz der Turbo-Mirai-Klasse, das häufig rekordverdächtige DDoS-Angriffe verursacht, indem es kompromittierte Heimrouter und Kameras ausnutzt, hauptsächlich bei privaten Internetdienstanbietern in den Vereinigten Staaten und anderen Ländern.

Diese plötzlichen UDP-Bursts wiesen nur minimale Quell-Spoofing-Aktivitäten auf und verwendeten zufällige Quellports, was die Rückverfolgung vereinfachte und die Durchsetzung durch die Anbieter erleichterte.

Cloudflare brachte dasselbe Botnetz mit einem rekordverdächtigen DDoS-Angriff mit 22,2 Terabit pro Sekunde (Tbps) in Verbindung, der 10,6 Milliarden Pakete pro Sekunde (Bpps) erreichte und im September 2025 abgewehrt wurde. Dieser Angriff dauerte nur 40 Sekunden, entsprach jedoch in etwa dem gleichzeitigen Streaming von einer Million 4K-Videos.

Eine Woche zuvor hatte die Forschungsabteilung XLab des chinesischen Cybersicherheitsunternehmens Qi'anxin einen weiteren DDoS-Angriff mit 11,5 Tbps dem Aisuru-Botnetz zugeschrieben und angegeben, dass dieses zu diesem Zeitpunkt etwa 300.000 Bots kontrollierte.

Das Botnetz zielt auf Sicherheitslücken in IP-Kameras, DVRs/NVRs, Realtek-Chips und Routern von T-Mobile, Zyxel, D-Link und Linksys ab. Wie die Forscher von XLab berichteten, wuchs es im April 2025 plötzlich stark an, nachdem seine Betreiber einen Firmware-Update-Server für TotoLink-Router geknackt und etwa 100.000 Geräte infiziert hatten.

Der Infosec-Journalist Brian Krebs berichtete Anfang dieses Monats, dass Cloudflare mehrere Domains, die mit dem Aisuru-Botnetz in Verbindung stehen, aus seiner öffentlichen Rangliste der "Top-Domains" der am häufigsten aufgerufenen Webseiten (basierend auf dem DNS-Abfragevolumen) entfernt hat, nachdem sie legitime Webseiten wie Amazon, Microsoft und Google überholt hatten.

Das Unternehmen erklärte, dass die Betreiber von Aisuru den DNS-Dienst von Cloudflare (1.1.1.1) absichtlich mit bösartigem Abfrageverkehr überfluteten, um die Popularität ihrer Domain zu steigern und gleichzeitig das Vertrauen in die Rangliste zu untergraben. Matthew Prince, CEO von Cloudflare, bestätigte ebenfalls, dass das Verhalten des Botnetzes das Ranglistensystem erheblich verzerrte, und fügte hinzu, dass Cloudflare nun verdächtige bösartige Domains redigiert oder vollständig ausblendet, um ähnliche Vorfälle in Zukunft zu vermeiden.

Wie Cloudflare in seinem DDoS-Bericht für das erste Quartal 2025 im April bekannt gab, hat das Unternehmen im vergangenen Jahr eine Rekordzahl von DDoS-Angriffen abgewehrt, mit einem Anstieg von 198 % gegenüber dem Vorquartal und einem massiven Anstieg von 358 % gegenüber dem Vorjahr.

Insgesamt blockierte das Unternehmen im Jahr 2024 21,3 Millionen DDoS-Angriffe auf seine Kunden sowie weitere 6,6 Millionen Angriffe auf die eigene Infrastruktur während einer 18-tägigen Multi-Vektor-Kampagne.