Une déferlante numérique lancée depuis plus de 500 000 machines, un débit qui frôle les 16 térabits par seconde et des paquets expédiés à une cadence que même les géants du cloud voient rarement passer : Azure a dû encaisser une attaque DDoS d’une folle intensité, menée par un botnet IoT en pleine expansion

Aisuru, le botnet qui fait trembler le cloud, signe une attaque DDoS d’une rare intensité contre Azure. © Photon photo / Shutterstock
Aisuru, le botnet qui fait trembler le cloud, signe une attaque DDoS d’une rare intensité contre Azure. © Photon photo / Shutterstock

Microsoft vient de confirmer avoir encaissé l’une des attaques les plus violentes de son histoire. Le 24 octobre, Azure a été pris pour cible par une offensive d’une ampleur exceptionnelle, menée par Aisuru, un botnet qui alimente depuis des mois une escalade spectaculaire de débits et de volumes de paquets. Au plus fort de son activité, l’assaut a atteint 15,72 térabits par seconde et s’est appuyé sur un demi-million d’adresses IP réparties dans le monde. Derrière ce pic aux allures de record, on retrouve toute une collection de routeurs domestiques, de caméras de surveillance et d’appareils grand public compromis capables de faire plier les infrastructures les plus massives.

Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Une saturation menée tambour battant

Dans le détail, l’offensive s’est matérialisée par des rafales UDP envoyées à une vitesse anormalement élevée vers une adresse Azure située en Australie, avec un pic mesuré à plus de 3,64 milliards de paquets par seconde, un volume tel qu’il peut suffire à faire flancher des services pourtant dimensionnés pour absorber un trafic soutenu.

Cette pression soudaine s’explique par l’ampleur du botnet mobilisé, Microsoft évoquant une opération multivectorielle dont la charge principale provenait de flux coordonnés depuis plus de 500 000 adresses IP réparties à travers le monde. Un déploiement qui témoigne de la maturité opérationnelle du botnet Aisuru, capable de mobiliser simultanément des centaines de milliers d’appareils compromis.

Face à un afflux aussi rapide, Microsoft affirme avoir repéré l’anomalie presque instantanément, ce qui lui aurait laissé juste assez de temps pour enclencher son plan de mitigation avant que la situation ne dérape. La quasi-absence de falsification dans les paquets a également joué en sa faveur, puisqu’elle a simplifié la remontée vers les sources, accéléré l’intervention des fournisseurs chargés de filtrer le trafic, et contribué à limiter l’ampleur du phénomène.

Comment Azure filtre et absorbe les attaques DDoS avant qu’elles n’atteignent les applications et bases de données du cloud. © Microsoft

Aisuru, le botnet qui bouscule l’écosystème du cloud

Aisuru s’impose aujourd’hui comme l’un des réseaux d’objets compromis les plus agressifs, nourri par un ensemble hétérogène de caméras IP, de routeurs vulnérables, d'enregistreurs NVR, de chipsets et, plus généralement, de tout ce qui traîne dans le parc IoT mondial, et l'on estime que la taille du botnet oscille entre 300 000 et 500 000 machines actives.

Ces derniers mois, Aisuru n’a cessé de multiplier les signaux d’activité, enchaînant des offensives toujours plus intenses. En septembre, Cloudflare avait ainsi dû encaisser une charge mesurée à 22,2 térabits par seconde pour un débit instantané de 10,6 milliards de paquets par seconde. L’épisode n’avait duré qu’une quarantaine de secondes, mais suffisait à démontrer la capacité du botnet à concentrer sa puissance sur des fenêtres très courtes, souvent les plus difficiles à absorber pour les infrastructures ciblées. Quelques semaines plus tôt, les équipes de recherche de Qi’anxin avaient attribué à Aisuru une autre offensive d’approximativement 11,5 térabits par seconde, en estimant que près de 300 000 appareils avaient alors été mobilisés pour mener l’assaut.

L’activité du botnet s’est également invitée sur un terrain plus inhabituel, après que Brian Krebs, journaliste spécialisé en cybersécurité, a constaté que plusieurs domaines liés au réseau s’étaient hissés en tête du classement public de Cloudflare Radar, fondé sur le volume de requêtes DNS adressées au résolveur 1.1.1.1. L’avalanche de trafic générée par les appareils compromis avait suffi à propulser ces domaines au-dessus de ceux d’Amazon ou de Microsoft, avant que Cloudflare ne finisse par les retirer de son classement. Une décision rare, qui témoigne de la capacité d’un botnet de cette ampleur à déformer jusqu’aux indicateurs de popularité pourtant censés refléter l’activité réelle du web.

Bref, s’il ne fallait retenir que des conseils évidents : mettez vos appareils à jour, y compris les firmwares de vos routeurs et de vos ampoules connectées, changez les identifiants par défaut, désactivez les services dont vous n’avez pas besoin et isolez autant que possible votre parc IoT du reste du réseau. Si certains de vos équipements ne reçoivent plus de mises à jour, remplacez-les dans la mesure du possible avant qu’ils ne facilitent la vie des botnets Mirai-like.

Microsoft encourage par ailleurs les pros à s’assurer que leurs applications accessibles depuis Internet sont en mesure d’absorber une hausse soudaine de trafic sans s’effondrer, grâce à des protections capables de repérer et de filtrer des assauts DDoS, généralement dissimulés derrière des requêtes en apparence légitimes.

Sources : Microsoft, Brian Krebs, Bleeping Computer