Azure, 15 Tbps büyüklüğündeki DDoS saldırısında 500 bin IP tarafından hedef alındı

 (bleepingcomputer.com)
2 puan yazan GN⁺ 2025-11-18 | 1 yorum | WhatsApp'ta paylaş
  • Aisuru botneti, Microsoft Azure ağını hedef alarak saniyede 15.72 Tbps ölçeğinde büyük bir DDoS saldırısı gerçekleştirdi
  • Saldırı 500 binden fazla IP adresinden geldi ve Avustralya’daki belirli bir genel IP’ye yönelik saniyede 3.6 milyar pakete ulaşan bir UDP flood biçimindeydi
  • Aisuru, Turbo Mirai türevi bir IoT botneti olup ev tipi yönlendiricileri ve kameraları kötüye kullanarak ABD başta olmak üzere çeşitli ülkelerdeki ISP ağları üzerinden yayılıyor
  • Cloudflare ve Qi’anxin’in önceki saldırı vakalarında da aynı botnetin 11.5 Tbps ila 22.2 Tbps ölçeğindeki saldırılarla bağlantılı olduğu doğrulandı
  • Bu olay, bulut altyapısı genelinde büyük ölçekli IoT tabanlı DDoS tehdidinin sürekli yayılmasını gösteren bir örnek oldu

Azure’a yönelik 15.72 Tbps DDoS saldırısının özeti

  • Microsoft, Aisuru botnetinin Azure ağına karşı saniyede 15.72 Tbps’lik bir DDoS saldırısı gerçekleştirdiğini açıkladı

    • Saldırı 500 binden fazla IP adresinden geldi
    • Saldırı türü, Avustralya’daki belirli bir genel IP’yi hedef alan yüksek hızlı UDP flood idi
    • Trafik seviyesi saniyede yaklaşık 3 milyar 640 milyon paket (bpps) düzeyine ulaştı

  • Microsoft Azure güvenlik ekibinden Sean Whalen, Aisuru’nun Turbo Mirai sınıfı bir IoT botneti olduğunu ve
    ev tipi yönlendiriciler ile kameraları enfekte ederek büyük ölçekli saldırılar başlattığını açıkladı

    • Başlıca ABD ve diğer ülkelerdeki konut tipi ISP ağları üzerinden yayılıyor

  • Saldırı trafiğinde kaynak spoofing neredeyse yoktu ve rastgele kaynak portları kullanılıyordu

    • Bu da iz sürmeyi (traceback) ve sağlayıcı taraflı engelleme önlemlerini kolaylaştırdı

Aisuru botnetinin önceki faaliyetleri

  • Cloudflare, Eylül 2025’te aynı Aisuru botnetinin 22.2 Tbps büyüklüğünde bir DDoS saldırısı gerçekleştirdiğini bildirdi

    • Saniyede 10.6 milyar pakete ulaştı ve yaklaşık 40 saniye sürdü
    • Bu, 1 milyon 4K videonun eşzamanlı akışına denk gelen bir trafik hacmiydi

  • Çinli güvenlik şirketi Qi’anxin’in XLab ekibi, 11.5 Tbps büyüklüğündeki saldırının Aisuru botneti tarafından yapıldığını analiz etti

    • O sırada yaklaşık 300 bin bot kontrol ediliyordu

Bulaşma yolu ve yayılım

  • Aisuru, IP kameralar, DVR/NVR, Realtek yongaları ve yönlendiricilerdeki güvenlik açıklarını kötüye kullanıyor
    • Hedef alınan üreticiler arasında T-Mobile, Zyxel, D-Link, Linksys yer alıyor
  • Nisan 2025’te TotoLink yönlendirici firmware güncelleme sunucusunun ele geçirilmesi yoluyla yaklaşık 100 bin cihaz daha enfekte edildi
    • Bu noktadan sonra botnetin ölçeği hızla büyüdü

Cloudflare’ın yanıtı ve etkileri

  • Güvenlik gazetecisi Brian Krebs, Cloudflare’ın Aisuru ile ilişkili alan adlarını
    kendi “Top Domains” sıralamasından çıkardığını bildirdi
    • Bu alan adları Amazon, Microsoft, Google gibi meşru sitelerin üstüne çıkarak sıralamayı çarpıtıyordu
  • Cloudflare, Aisuru operatörlerinin DNS hizmetine (1.1.1.1) büyük miktarda kötü amaçlı sorgu göndererek
    alan adı popülerliğini yapay olarak yükselttiğini açıkladı
    • CEO Matthew Prince, bunun sıralama sistemini ciddi biçimde çarpıttığını söyledi
    • Bunun ardından Cloudflare, şüpheli alan adlarını gizli işleme politikasını devreye aldı

DDoS saldırılarındaki artış eğilimi

  • Cloudflare’ın 2025 1. çeyrek DDoS raporuna göre
    • Saldırı hacmi yıllık bazda %358, çeyreklik bazda ise %198 arttı
    • 2024 yılı boyunca müşterilere yönelik 21.3 milyon, kendi altyapısına yönelik ise 6.6 milyon saldırı engellendi
    • Bunların bir kısmı 18 gün süren çok vektörlü saldırı kampanyaları olarak tespit edildi

Özet

  • Aisuru botneti, IoT cihaz enfeksiyonu üzerinden aşırı büyük DDoS saldırı altyapısına dönüştü
  • Microsoft Azure ve Cloudflare gibi büyük bulut sağlayıcıları bugüne kadarki en büyük ölçekli saldırıları savundu
  • DNS hizmetinin çarpıtılması, IoT zafiyetlerinin kötüye kullanılması ve küresel trafik patlaması, birleşik bir tehdit tablosu ortaya koyuyor
  • Bu olay, bulut ve ağ sağlayıcıları için sürekli savunma mekanizmalarını güçlendirme gereğini gösteriyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-18
Hacker News görüşleri

  • Aisuru DDoS botnet'inin hükümet veya askeri kurumlardan kaçınıp esas olarak çevrimiçi oyunları hedef alması ilginç
    Ama insanların neden para verip oyun sunucularını çökerttiğini anlamak zor. Birkaç saat oyun oynatmayarak ne kazanıyorlar diye insan merak ediyor
    İlgili blog yazısı

    • Sonuçta sebep öfke ve güç arzusu. “Ben yapamıyorsam kimse yapamaz” tarzı bir psikolojiyle hareket edip sunucu yöneticilerine şantaj yaparak moderatör yetkisi bile isteyebiliyorlar
      Başka bir durumda ise rakip sunuculara saldırıp ücretli öğe veya rank satışı gelirini tekelleştirmeyi amaçlıyorlar
    • e-spor bahisleri büyük bir neden. Gerçekten de Fortnite turnuvasında rakipleri dezavantajlı duruma düşürmek için DDoS kullanılan vakalar olmuş
    • Bazıları oyun içi piyasa manipülasyonunu hedefliyor. Takas edilebilir para birimi veya öğeler olan oyunlarda sunucu kesintisi fiyatları etkileyebiliyor
      Bazı durumlarda etkinlikleri ya da turnuvaları bozmak, ya da sadece geliştiricilere kin duyulan bir trolleme de söz konusu olabiliyor
    • Asıl büyük neden oyunun kendisinden çok bahis siteleri arasındaki rekabet olabilir. Rakip siteyi birkaç saatliğine kapatmak büyük paralar döndürebilir
      CoffeeZilla'nın yakın tarihli videosunda da bu tür gaming casino davranışlarına değinilmişti
    • Tekrar söylemek gerekirse, e-spor bahis pazarı o kadar büyük ki bunlar yaşanıyor

  • İlgili haberlere bakınca Aisuru botnet'inin Cloudflare'ın ana alan adı listesinden çıkarılması ya da residential proxy'lere geçmesi gibi yollarla evrim geçirdiği görülüyor

  • Nisan 2025'te TotoLink firmware sunucusunun hacklenmesiyle 100 bin router'ın enfekte olduğu bir olay yaşandı
    OpenWRT gibi açık kaynak projeler güzel ama sunucu güvenliğini kimin koruduğu endişe veriyor. Acaba bunu dijital imzalarla önlemek mümkün mü diye düşündürüyor

    • OpenWRT, firmware ve paketleri dijital imza ile koruyor. Güncellemeden önce imzayı doğrudan doğrulamak da mümkün
      Ancak build alındıktan sonra imzalanmadan önceki aşamada bir bulaşma olursa büyük çaplı zarar mümkün olduğu için reproducible builds önemli
      OpenWRT güvenlik dokümanı
    • Özel şirketler de aslında güvenlik personeline asgari düzeyde yatırım yapıyor. Ticari router'lar çoğu zaman daha da kırılgan olabiliyor
    • Bu yüzden OpenWRT'de otomatik güncellemeler varsayılan olarak kapalı
    • Açık kaynak depoları yüzlerce kişi tarafından izlenirken şirket build sunucularına belki bir iki kişi bakıyor
    • Birileri de bu tartışmanın sadece “güvenlik ne olacak” tarzında konuyu bulandıran bir çıkış olduğunu söylüyor

  • DDoS sık sık güvenlik ekibinin dikkatini dağıtmak için kullanılıyor. Kargaşa sırasında daha gizli bir saldırı yürütülüyor

    • Ama bunun “sık” yaşanıp yaşanmadığı tartışmalı. DDoS'a yanıt verirken güvenlik ayarları gevşetilmediği için etkili bir strateji olmayabilir
    • MS'nin rekor büyüklükte bir saldırı almasına rağmen hizmette gecikme yaşanmamış olması ilginç. Zaten yavaştı da kimse fark etmedi diye şaka yapanlar da var

  • IoT hâlâ güvenliği zayıf cihazlardan oluşan bir dalga gibi. Daha iyi bir yönteme ihtiyaç var

    • ISP'ler müşterilerin kullandığı router'ları sınırlandırsa güvenlik artabilir ama bunun özgürlüğü azaltması endişe yaratıyor
    • “IoT'deki S, Security'nin S'sidir” şakasında olduğu gibi, bu yapısal olarak güvenliğin eksik olduğu bir sorun
    • “Daha iyi bir yönteme ihtiyaç var” sözüne karşılık, “ondan önce daha büyük bir dalga gelir” şeklinde alaycı tepkiler de var
    • Avrupa'daki otomatik güvenlik güncellemesini zorunlu kılan politikaların paradoksal biçimde botnet yayılımını hızlandırdığı da öne sürülüyor. Güncelleme sunucusu hacklenirse yüz binlerce cihaz aynı anda enfekte olabiliyor

  • Bloga erişmeye çalıştım ama proxy hatası aldım. İronik biçimde ilgili yazı sanki DDoS yüzünden erişilemez durumdaydı

  • Neden uluslararası siber suçlara odaklı bir kurum olmadığını anlamak zor. Böyle zararlı faaliyetleri engelleyebilirdi

    • Ülkelerin egemenlik sorunları ve siyasi çıkarları yüzünden bu mümkün değil. Bazı ülkeler bu suçlardan fayda bile sağlıyor
    • Gerçekte uluslararası işbirliğine dayalı soruşturmalar zaten sürekli yapılıyor. Ama siyasi kısıtlar nedeniyle yeni bir kurum kurulsa bile büyük bir değişiklik olmayabilir
    • UN gibi mevcut kuruluşlar da savaş, insan kaçakçılığı ve kara para aklamayı tamamen durdurabilmiş değil. Yine de tamamen kuralsız bir ortamdan iyidir ama sınırları var
    • Çin ve Rusya Batı'nın başarısız olmasını istiyor. Böyle bir ortamda işbirliği beklemek zor
    • “Team America, World Police?” şakasında olduğu gibi, uluslararası bir polis yapısı olsa bile caydırmadan çok önlemeye odaklı bir yaklaşım gerek
      Örneğin güvenlik standartlarını zorunlu kılan anlaşmalar yapılırsa, güvensiz tüketici router'ları azalabilir ve DDoS piyasasının kendisi küçülebilir
      Ama suçlular güçlüleri değil zayıfları hedef aldığı için toplumun ilgisi düşük kalıyor

  • Bu kadar çok node varken etkileyici teknolojiler üretmek yerine sırf egoyu tatmin etmek için kullanılması üzücü
    Tor benzeri ağlar veya dağıtık arşiv sistemleri kurulabilirdi, ama bunun yerine suç için harcanması yazık

  • “Bundan kim fayda sağlıyor (Cui bono)?” sorusu akla geliyor. Bu kadar büyük saldırılar gerçekten buna değer mi diye düşündürüyor. Acaba ortada gizli bir fidye talebi mi var

    • Aslında maliyet neredeyse sıfır. Aylardır Minecraft sunucuları gibi yerlere rastgele saldırılar yapılıyor

  • “Sadece Avustralya'daki tek bir endpoint'i hedef aldı” denmesi tuhaf. Dünyanın en büyük DDoS saldırılarından biri neden orada kullanıldı?
    CDN varsa zaten yedekli bir yapı olması gerekir; buna kim para verdi ve ne elde etti diye merak ettiriyor

    • DDoS bir sinyal değil, gürültüdür. Saldırının amacı logları bastırıp gerçek hedefi gizlemek olabilir. APT28/29 böyle bir strateji kullanıyor
    • Ya da olay basitçe Avustralyalı oyuncular arasındaki kişisel çekişme olabilir. “Simmo, Jonno'nun kız kardeşinden ayrıldı diye delirdi” türü şakalar da yapılıyor
    • Gerçekte bu tür saldırılar her gün yaşanıyor ve çoğu Cloudflare Magic Transit gibi savunma çözümleriyle engelleniyor.
      Buna fazla derin anlam yüklemeye gerek olmadığını düşünenler de var