Azure diserang DDoS skala 15Tbps dari 500 ribu IP

 (bleepingcomputer.com)
2 poin oleh GN⁺ 2025-11-18 | 1 komentar | Bagikan ke WhatsApp
  • Botnet Aisuru melancarkan serangan DDoS berskala besar sebesar 15,72Tbps per detik terhadap jaringan Microsoft Azure
  • Serangan berasal dari lebih dari 500 ribu alamat IP dan mencapai 3,6 miliar paket per detik dalam bentuk UDP flood yang menargetkan IP publik tertentu di Australia
  • Aisuru adalah botnet IoT keluarga Turbo Mirai yang menyalahgunakan router rumahan dan kamera, lalu menyebar melalui jaringan ISP di berbagai negara termasuk Amerika Serikat
  • Dalam kasus serangan sebelumnya yang dilaporkan Cloudflare dan Qi’anxin, botnet yang sama juga dipastikan terlibat dalam serangan berukuran 11,5Tbps hingga 22,2Tbps
  • Ini menjadi contoh yang menunjukkan terus meluasnya ancaman DDoS berbasis IoT berskala besar di seluruh infrastruktur cloud

Ikhtisar serangan DDoS 15,72Tbps terhadap Azure

  • Microsoft mengumumkan bahwa botnet Aisuru melancarkan serangan DDoS sebesar 15,72Tbps per detik terhadap jaringan Azure

    • Serangan berasal dari lebih dari 500 ribu alamat IP
    • Jenis serangannya adalah UDP flood berkecepatan tinggi, yang menargetkan IP publik tertentu di Australia
    • Trafik mencapai sekitar 3,64 miliar paket per detik (bpps)

  • Sean Whalen dari tim keamanan Microsoft Azure menjelaskan bahwa Aisuru adalah botnet IoT kelas Turbo Mirai yang
    menginfeksi router rumahan dan kamera untuk melancarkan serangan berskala besar

    • Penyebarannya terutama melalui jaringan ISP residensial di Amerika Serikat dan negara lainnya

  • Trafik serangan hampir tidak menggunakan source spoofing dan memakai port sumber acak

    Iklan
    • Karena itu, pelacakan (traceback) dan tindakan pemblokiran oleh penyedia menjadi lebih mudah

Aktivitas Aisuru botnet sebelumnya

  • Cloudflare melaporkan pada September 2025 bahwa botnet Aisuru yang sama menyebabkan serangan DDoS sebesar 22,2Tbps

    • Serangan itu mencapai 10,6 miliar paket per detik dan berlangsung sekitar 40 detik
    • Volume trafik tersebut setara dengan streaming 1 juta video 4K secara bersamaan

  • XLab milik perusahaan keamanan Tiongkok Qi’anxin menganalisis bahwa serangan sebesar 11,5Tbps juga merupakan ulah botnet Aisuru

    Iklan
    • Saat itu sekitar 300 ribu bot berada di bawah kendali

Jalur infeksi dan penyebaran

  • Aisuru mengeksploitasi celah keamanan pada kamera IP, DVR/NVR, chip Realtek, dan router
    • Vendor yang menjadi target mencakup T-Mobile, Zyxel, D-Link, Linksys, dan lainnya
  • Pada April 2025, sekitar 100 ribu perangkat tambahan terinfeksi melalui kompromi server pembaruan firmware router TotoLink
    • Setelah titik ini, skala botnet meningkat tajam

Respons Cloudflare dan dampaknya

  • Jurnalis keamanan Brian Krebs melaporkan bahwa Cloudflare menghapus domain terkait Aisuru dari
    peringkat “Top Domains” miliknya
    • Domain-domain tersebut naik lebih tinggi daripada situs sah seperti Amazon, Microsoft, Google, sehingga mendistorsi peringkat
    Iklan
  • Cloudflare menjelaskan bahwa operator Aisuru mengirim kueri berbahaya dalam jumlah besar ke layanan DNS (1.1.1.1)
    untuk secara artifisial menaikkan popularitas domain
    • CEO Matthew Prince menyebut hal ini membuat sistem pemeringkatan terdistorsi secara serius
    • Setelah itu, Cloudflare memperkenalkan kebijakan menyembunyikan domain yang mencurigakan

Tren peningkatan serangan DDoS

  • Menurut laporan DDoS kuartal pertama 2025 dari Cloudflare
    • Volume serangan tercatat naik 358% dibanding tahun sebelumnya dan 198% dibanding kuartal sebelumnya
    • Sepanjang 2024, perusahaan memblokir 21,3 juta serangan yang menargetkan pelanggan dan 6,6 juta serangan yang menargetkan infrastrukturnya sendiri
    • Sebagiannya teridentifikasi sebagai kampanye serangan multi-vektor yang berlangsung selama 18 hari

Ringkasan

  • Botnet Aisuru tumbuh menjadi infrastruktur serangan DDoS raksasa melalui infeksi perangkat IoT
  • Penyedia cloud utama seperti Microsoft Azure dan Cloudflare berhasil mempertahankan diri dari serangan terbesar yang pernah tercatat
  • Ini menunjukkan pola ancaman gabungan antara distorsi layanan DNS, eksploitasi kerentanan IoT, dan lonjakan trafik global
  • Kasus ini menegaskan perlunya penguatan sistem pertahanan berkelanjutan bagi penyedia cloud dan jaringan

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-18
Komentar Hacker News

  • Menarik bahwa botnet DDoS Aisuru menghindari lembaga pemerintah atau militer dan terutama menjadikan game online sebagai target serangan
    Tapi saya tidak paham kenapa ada orang yang mau membayar untuk menjatuhkan server game. Apa untungnya membuat orang lain tidak bisa bermain selama beberapa jam?
    Tulisan blog terkait

    • Pada akhirnya alasannya adalah amarah dan hasrat akan kuasa. Pola pikirnya seperti, “kalau saya tidak bisa, maka tidak ada yang bisa,” dan mereka bahkan mengancam operator server sambil menuntut hak moderator
      Dalam kasus lain, tujuannya adalah menyerang server pesaing untuk memonopoli pendapatan dari penjualan item berbayar atau rank
    • Perjudian esports adalah alasan besar. Bahkan ada kasus penggunaan DDoS di turnamen Fortnite untuk merugikan lawan
    • Sebagian menargetkan manipulasi pasar di dalam game. Pada game yang memiliki mata uang atau item yang bisa diperdagangkan, gangguan server memengaruhi harga
      Dalam kasus lain, bisa juga untuk mengganggu event atau turnamen, atau sekadar trolling karena dendam pada pengembang
    • Mungkin alasannya lebih besar pada persaingan antar situs judi daripada game itu sendiri. Jika situs pesaing tumbang selama beberapa jam, uang dalam jumlah besar bisa berpindah tangan
      Video CoffeeZilla terbaru juga menyinggung perilaku aneh dari kasino gaming semacam ini
    • Sekali lagi, ini terjadi karena pasar perjudian esports terlalu besar

  • Dari artikel-artikel terkait, terlihat botnet Aisuru terus berevolusi, seperti dihapus dari daftar domain utama Cloudflare atau beralih ke proxy residensial

  • Pada April 2025, server firmware TotoLink diretas dan 100 ribu router terinfeksi
    Proyek open source seperti OpenWRT memang bagus, tetapi muncul kekhawatiran soal siapa yang menjaga keamanan servernya. Apakah ini bisa dicegah dengan tanda tangan digital?

    • OpenWRT melindungi firmware dan paket dengan tanda tangan digital. Sebelum pembaruan, tanda tangannya juga bisa diverifikasi secara manual
      Namun jika infeksi terjadi setelah proses build dan sebelum penandatanganan, kerusakan besar tetap mungkin terjadi, sehingga reproducible builds menjadi penting
      Dokumentasi keamanan OpenWRT
    • Perusahaan swasta pun sebenarnya hanya berinvestasi seminimal mungkin pada personel keamanan. Dalam banyak kasus, router komersial justru lebih rentan
    • Karena itu, OpenWRT menonaktifkan auto-update secara default
    • Repositori open source diawasi ratusan orang, sementara server build perusahaan mungkin bahkan nyaris tidak dilihat lebih dari satu dua orang
    • Ada juga yang menunjukkan bahwa diskusi ini sekadar mengaburkan pokok persoalan dengan komentar bernada “lalu bagaimana dengan keamanan?”

  • DDoS sering dipakai untuk mengalihkan perhatian tim keamanan. Di tengah kekacauan, serangan yang lebih diam-diam bisa dilancarkan

    • Namun, masih dipertanyakan apakah ini benar-benar sering terjadi. Karena konfigurasi keamanan biasanya tidak dilonggarkan saat merespons DDoS, ini mungkin bukan strategi yang efisien
    • Menarik bahwa meski MS menerima serangan pemecah rekor, layanannya tidak mengalami latensi. Ada juga candaan bahwa mungkin layanan mereka memang sudah lambat jadi tidak terasa

  • IoT masih merupakan gelombang perangkat dengan keamanan buruk. Kita butuh cara yang lebih baik

    • Jika ISP membatasi router yang boleh dipakai pelanggan, keamanan mungkin membaik, tetapi ada kekhawatiran soal berkurangnya kebebasan
    • Seperti lelucon “huruf S dalam IoT adalah huruf S dari Security,” ini menunjukkan masalah struktural karena keamanan memang absen
    • Ada juga tanggapan sinis terhadap ucapan “kita butuh cara yang lebih baik,” yaitu bahwa “sebelumnya akan datang gelombang yang lebih besar”
    • Ada analisis bahwa kebijakan kewajiban pembaruan keamanan otomatis di Eropa justru secara paradoks ikut menyebabkan penyebaran botnet. Jika server pembaruan diretas, ratusan ribu perangkat bisa terinfeksi sekaligus

  • Saya mencoba mengakses blognya, tetapi muncul proxy error. Ironisnya, situasinya jadi seperti tulisan tentang ini sendiri terblokir oleh DDoS

  • Sulit dipahami kenapa tidak ada lembaga khusus kejahatan siber internasional. Seharusnya itu bisa membantu menghentikan tindakan jahat seperti ini

    • Itu tidak memungkinkan karena masalah kedaulatan tiap negara dan kepentingan politik. Beberapa negara bahkan diuntungkan oleh kejahatan semacam ini
    • Faktanya, penyelidikan kerja sama internasional memang terus dilakukan. Tetapi karena batasan politik, lembaga baru pun kemungkinan besar tidak akan banyak mengubah keadaan
    • Organisasi yang sudah ada seperti PBB pun belum mampu sepenuhnya menghentikan perang, perdagangan manusia, dan pencucian uang. Tetap lebih baik daripada benar-benar tanpa hukum, tetapi ada batasnya
    • China dan Rusia menginginkan kegagalan Barat. Dalam situasi seperti ini, sulit berharap akan ada kerja sama
    • Seperti lelucon “Team America, World Police?”, sekalipun polisi internasional dibentuk, pendekatannya harus berfokus pada pencegahan, bukan sekadar penindakan
      Misalnya dengan membuat perjanjian yang mewajibkan standar keamanan, sehingga router konsumen yang rentan berkurang dan pasar DDoS itu sendiri menyusut
      Tetapi para penjahat ini menyerang yang lemah, bukan yang kuat, jadi perhatian publik terhadap masalah ini kecil

  • Disayangkan bahwa dengan begitu banyak node, mereka tidak berpikir untuk membuat teknologi yang keren, melainkan hanya memakainya untuk memuaskan ego
    Padahal mereka bisa saja membangun jaringan seperti Tor atau sistem arsip terdistribusi, jadi menyedihkan melihat semuanya terbuang untuk kejahatan

  • Pertanyaan “siapa yang diuntungkan (Cui bono)?” muncul di benak. Sulit membayangkan serangan sebesar ini benar-benar sepadan. Mungkinkah ada permintaan tebusan di baliknya?

    • Kenyataannya, biayanya nyaris nol. Sudah berbulan-bulan mereka menyerang tempat-tempat acak seperti server Minecraft

  • Aneh bahwa yang diserang hanya satu endpoint di Australia. Kenapa DDoS terbesar di dunia digunakan untuk itu?
    Kalau ada CDN, seharusnya ada redundansi, jadi menarik untuk bertanya siapa yang membayar dan apa yang didapat

    • DDoS itu bukan sinyal, melainkan kebisingan. Tujuan serangan mungkin untuk menenggelamkan log dan menyembunyikan target yang sebenarnya. APT28/29 memakai strategi seperti ini
    • Atau bisa jadi ini cuma cekcok emosional antar gamer Australia. Sampai muncul lelucon seperti “Simmo marah karena Jonno putus dengan adiknya”
    • Kenyataannya, serangan seperti ini terjadi setiap hari, dan sebagian besar diblokir oleh solusi pertahanan seperti Cloudflare Magic Transit.
      Jadi mungkin tidak perlu memberi makna terlalu dalam padanya