Основы Интернет - технологий.

Правоохранительные органы США, Германии и Канады провели совместную операцию и отключили управляющую инфраструктуру четырех крупнейших IoT-ботнетов — Aisuru, Kimwolf, JackSkid и Mossad. Также в расследовании принимали участие эксперты из Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud и других компаний. По данным Министерства юстиции США, в совокупности эти ботнеты заразили более 3 000 000 устройств по всему миру (веб-камеры, видеорегистраторы и Wi-Fi-роутеры), причем сотни тысяч из них находились на территории США. В ходе операции были изъяты виртуальные серверы, домены и другая инфраструктура, которую операторы ботнетов использовали для проведения сотен тысяч DDoS-атак на жертв по всему миру, включая IP-адреса информационной сети Министерства обороны США (DoDIN). Согласно опубликованным судебным документам, ботнет Aisuru отдал более 200 000 команд на проведение DDoS-атак, JackSkid — более 90 000, Kimwolf — более 25 000, а Mossad — более тысячи. Напомним, что в декабре 2025 года ботнет Aisuru установил рекорд и провел DDoS-атаку мощностью 31,4 Тбит/с и 200 млн запросов в секунду, направленную против нескольких компаний из телекоммуникационного сектора. Также именно Aisuru принадлежал и предыдущий рекорд в области DDoS — атака мощностью 29,7 Тбит/с. Ботнет Kimwolf, впервые описанный специалистами XLab в декабре 2025 года, заразил миллионы Android-устройств (в основном бюджетные смарт-ТВ и ТВ-приставки) и фактически является Android-версией Aisuru. Как ранее отмечал Том Шолл (Tom Scholl), вице-президент AWS, Kimwolf кардинально изменил подход к масштабированию ботнетов: вместо сканирования открытого интернета он эксплуатировал резидентные прокси-сети и проникал во внутренние домашние сети через скомпрометированные IoT-устройства. Специалисты компании Lumen Black Lotus Labs заявили СМИ, что осуществили null-route для почти тысячи управляющих серверов, которые использовали Aisuru и Kimwolf. Кроме того, по данным исследователей, в первые две недели марта 2026 года ботнет JackSkid в среднем поражал более 150 000 устройств ежедневно, а Mossad — более 100 000 в день. Исследователи также подтвердили, что JackSkid и Mossad эксплуатировали ту же уязвимость в резидентных прокси-провайдерах (затрагивающую устройства с открытым Android Debug Bridge), что и Kimwolf. «Такие атаки способны парализовать ключевую интернет-инфраструктуру, серьезно ухудшить качество услуг интернет-провайдеров и даже перегрузить облачные сервисы защиты от DDoS», — заявили представители Akamai. Как мы ранее рассказывали в отдельной статье, операторы ботнетов продавали услуги другим преступникам по модели cybercrime-as-a-service, а в ряде случаев требовали от жертв выкуп. Еще прошлой зимой независимый ИБ-журналист Брайан Кребс (Brian Krebs) писал (1, 2), что администратором Kimwolf может быть 23-летний Джейкоб Батлер (Jacob Butler, он же Dort) из Оттавы. Тогда Батлер заявил Кребсу, что не использует псевдоним Dort с 2021 года и утверждал, что кто-то скомпрометировал его старый аккаунт. Вторым подозреваемым, по данным Кребса, может быть 15-летний подросток из Германии. Однако правоохранительные органы пока не сообщали об арестах.