До 3 Тбит/с: как Black Myth: Wukong едва не обвалил Steam по всему миру

В августе 2024 года исследователями была зафиксирована масштабная DDoS-атака на игровые платформы, распространяющие китайскую игру Black Myth: Wukong, включая Steam. Операция была тщательно спланирована и разделена на четыре волны, при этом злоумышленники выбрали пиковые часы активности игроков в различных часовых поясах.

Целью атак стали сотни серверов, расположенных в 13 регионах мира, что позволило добиться максимального разрушительного эффекта. В этой операции использовалась ботнет-сеть под названием AISURU, которая впоследствии обновилась и получила название AIRASHI.

После публичного разоблачения атаки в сентябре активность AISURU временно прекратилась, однако в октябре сеть была модернизирована. Новая версия ботнета, известная как «kitty», а к концу ноября — AIRASHI, показала существенные усовершенствования.

AIRASHI выделяется следующими характеристиками: использование 0day-уязвимости роутеров cnPilot для распространения, шифрование строк с помощью RC4 и добавление в протокол HMAC-SHA256 и ChaCha20. Также ботнет имеет мощные возможности для атак и распределённую сеть командных серверов.

AIRASHI активно эксплуатирует множество уязвимостей. Многие из них затрагивают устройства AVTECH, Android ADB Debug Server и другие. Несмотря на контакт с производителем cnPilot ещё в июне прошлого года, устранить уязвимость так и не удалось. Чтобы избежать новых атак, детали 0day-уязвимости не раскрываются по сей день.

Операторы ботнета AIRASHI демонстрируют его возможности на различных платформах, включая Telegram. Тесты показывают стабильный пик атаки в 1-3 Тбит/с, что подтверждает его разрушительный потенциал. Главными целями становятся серверы в Китае, США, России и Польше, однако чёткого выбора жертв нет — ботнет атакует сотни объектов ежедневно.

Технический анализ образцов AIRASHI показывает постоянные обновления, включая использование SOCKS5-прокси и внедрение новых сетевых протоколов. Ботнет активно использует современные методы шифрования, такие как ChaCha20 и HMAC-SHA256, для защиты своих коммуникаций. В последнее время добавлены функции обратного шелла и прокси-сервисов, что ещё больше усиливает функционал сети.

Защитники могут обнаружить возможные атаки с помощью сигнатур, разработанных для выявления попыток эксплуатации уязвимостей. Например, Snort-правило идентифицирует команды, используемые ботнетом для выполнения скриптов.

Борьба с AIRASHI осложняется его распределённой структурой и постоянным развитием. Однако эксперты продолжают мониторинг и разработку новых методов защиты, чтобы противостоять угрозам современного киберпространства.