Azure ถูกโจมตี DDoS ระดับ 15Tbps จาก 5 แสน IP

 (bleepingcomputer.com)
2 คะแนน โดย GN⁺ 2025-11-18 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บอตเน็ต Aisuru ก่อ การโจมตี DDoS ขนาดใหญ่ ต่อเครือข่าย Microsoft Azure ที่ระดับ 15.72Tbps
  • การโจมตีมาจาก ที่อยู่ IP มากกว่า 500,000 รายการ และเป็น UDP flood ที่มุ่งเป้าไปยัง IP สาธารณะเฉพาะในออสเตรเลีย โดยแตะระดับ 3.6 พันล้านแพ็กเก็ตต่อวินาที
  • Aisuru เป็น บอตเน็ต IoT ตระกูล Turbo Mirai ที่แพร่กระจายผ่าน เครือข่าย ISP ในหลายประเทศรวมถึงสหรัฐฯ โดยอาศัยการโจมตีเราเตอร์และกล้องภายในบ้าน
  • จาก กรณีการโจมตีก่อนหน้า ที่ Cloudflare และ Qi’anxin ตรวจพบ ยืนยันว่าบอตเน็ตเดียวกันนี้เกี่ยวข้องกับการโจมตีขนาด 11.5Tbps~22.2Tbps
  • เป็นอีกกรณีที่สะท้อนถึง การขยายตัวอย่างต่อเนื่องของภัยคุกคาม DDoS ขนาดใหญ่ที่อาศัยอุปกรณ์ IoT ในโครงสร้างพื้นฐานคลาวด์

ภาพรวมการโจมตี DDoS 15.72Tbps ต่อ Azure

  • Microsoft ประกาศว่า บอตเน็ต Aisuru ได้ก่อการโจมตี DDoS ต่อเครือข่าย Azure ที่ระดับ 15.72Tbps

    • การโจมตีมาจากที่อยู่ IP มากกว่า 500,000 รายการ
    • รูปแบบการโจมตีเป็น UDP flood ความเร็วสูง โดยมุ่งเป้าไปยัง IP สาธารณะเฉพาะในออสเตรเลีย
    • ทราฟฟิกพุ่งถึงประมาณ 3.64 พันล้านแพ็กเก็ตต่อวินาที (bpps)

  • Sean Whalen จากทีมความปลอดภัย Microsoft Azure อธิบายว่า Aisuru เป็น บอตเน็ต IoT ระดับ Turbo Mirai ที่
    ติดเชื้อใน เราเตอร์และกล้องภายในบ้าน เพื่อใช้ก่อการโจมตีขนาดใหญ่

    • โดยหลักแล้วแพร่กระจายผ่าน เครือข่าย ISP ภาคครัวเรือน ในสหรัฐฯ และประเทศอื่น ๆ

  • ทราฟฟิกโจมตีมี การปลอมแปลงต้นทางน้อยมาก และใช้ พอร์ตต้นทางแบบสุ่ม

    • ทำให้ การย้อนรอย (traceback) และ มาตรการบล็อกจากผู้ให้บริการ ทำได้ง่ายขึ้น

กิจกรรมก่อนหน้าของบอตเน็ต Aisuru

  • Cloudflare รายงานในเดือนกันยายน 2025 ว่าบอตเน็ต Aisuru เดียวกันนี้ก่อ การโจมตี DDoS ขนาด 22.2Tbps

    • แตะระดับ 10.6 พันล้านแพ็กเก็ตต่อวินาที และกินเวลาประมาณ 40 วินาที
    • คิดเป็นปริมาณทราฟฟิกเทียบเท่า การสตรีมวิดีโอ 4K พร้อมกัน 1 ล้านสตรีม

  • XLab ของบริษัทความปลอดภัยจีน Qi’anxin วิเคราะห์ว่า การโจมตีขนาด 11.5Tbps เป็นฝีมือของบอตเน็ต Aisuru

    • ขณะนั้นมี บอตราว 300,000 ตัว อยู่ภายใต้การควบคุม

เส้นทางการติดเชื้อและการแพร่กระจาย

  • Aisuru ใช้ประโยชน์จากช่องโหว่ความปลอดภัยใน กล้อง IP, DVR/NVR, ชิป Realtek และเราเตอร์
    • ผู้ผลิตที่ได้รับผลกระทบมี T-Mobile, Zyxel, D-Link, Linksys เป็นต้น
  • ในเดือนเมษายน 2025 มีการติดเชื้ออุปกรณ์เพิ่มอีกราว 100,000 เครื่องผ่าน การเจาะเซิร์ฟเวอร์อัปเดตเฟิร์มแวร์ของเราเตอร์ TotoLink
    • หลังจากนั้นขนาดของบอตเน็ตก็ขยายตัวอย่างรวดเร็ว

การตอบสนองของ Cloudflare และผลกระทบ

  • Brian Krebs นักข่าวสายความปลอดภัยรายงานว่า Cloudflare ได้ลบ โดเมนที่เกี่ยวข้องกับ Aisuru
    ออกจากอันดับ “Top Domains” ของบริษัท
    • เนื่องจากโดเมนเหล่านี้ขึ้นไปอยู่อันดับสูงกว่าเว็บไซต์ถูกกฎหมายอย่าง Amazon, Microsoft, Google และบิดเบือนการจัดอันดับ
  • Cloudflare อธิบายว่าผู้ดำเนินการ Aisuru ส่งคำขออันตรายจำนวนมากไปยัง บริการ DNS (1.1.1.1)
    เพื่อปั่นความนิยมของโดเมนให้สูงขึ้นโดยเทียม
    • CEO Matthew Prince ระบุว่าสิ่งนี้ทำให้ ระบบจัดอันดับบิดเบือนอย่างรุนแรง
    • หลังจากนั้น Cloudflare จึงนำ นโยบายซ่อนโดเมนต้องสงสัย มาใช้

แนวโน้มการเพิ่มขึ้นของการโจมตี DDoS

  • ตามรายงาน DDoS ไตรมาส 1 ปี 2025 ของ Cloudflare
    • ปริมาณการโจมตีเพิ่มขึ้น 358% เมื่อเทียบกับปีก่อน และ 198% เมื่อเทียบกับไตรมาสก่อน
    • ตลอดปี 2024 มีการบล็อกการโจมตีต่อระบบลูกค้า 21.3 ล้านครั้ง และต่อโครงสร้างพื้นฐานของบริษัทเอง 6.6 ล้านครั้ง
    • บางส่วนเป็น แคมเปญโจมตีหลายเวกเตอร์ที่ต่อเนื่องนาน 18 วัน

สรุป

  • บอตเน็ต Aisuru เติบโตเป็น โครงสร้างพื้นฐานการโจมตี DDoS ขนาดมหึมาที่อาศัยการติดเชื้อในอุปกรณ์ IoT
  • ผู้ให้บริการคลาวด์รายใหญ่อย่าง Microsoft Azure และ Cloudflare ต้องรับมือกับ การโจมตีที่ใหญ่ที่สุดเท่าที่เคยมีมา
  • เป็นรูปแบบภัยคุกคามเชิงซ้อนที่รวม การบิดเบือนบริการ DNS, การใช้ช่องโหว่ IoT และการพุ่งสูงของทราฟฟิกทั่วโลก
  • กรณีนี้แสดงให้เห็นถึง ความจำเป็นในการเสริมความแข็งแกร่งของระบบป้องกันอย่างต่อเนื่อง สำหรับผู้ให้บริการคลาวด์และเครือข่าย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-11-18
ความเห็นจาก Hacker News

  • น่าสนใจที่บอตเน็ต DDoS ของ Aisuru เลี่ยงการโจมตีหน่วยงานรัฐหรือทหาร และเลือกเป้าเป็น เกมออนไลน์ เป็นหลัก
    แต่ก็ยังไม่เข้าใจว่าทำไมถึงมีคนยอมจ่ายเงินให้ทำเกมเซิร์ฟเวอร์ล่ม ได้ประโยชน์อะไรจากการทำให้คนเล่นเกมไม่ได้อยู่หลายชั่วโมงกันแน่
    บทความบล็อกที่เกี่ยวข้อง

    • สุดท้ายแล้วเหตุผลก็คือ ความโกรธและความอยากมีอำนาจ เป็นแนวคิดแบบ “ถ้าฉันเล่นไม่ได้ ก็ต้องไม่มีใครเล่นได้” และบางครั้งก็ใช้ข่มขู่ผู้ดูแลเซิร์ฟเวอร์เพื่อเรียกร้องสิทธิ์ม็อด
      อีกกรณีหนึ่งคือโจมตีเซิร์ฟเวอร์คู่แข่งเพื่อผูกขาด รายได้จากการขายไอเท็มเสียเงินหรือแรงก์
    • การพนันอีสปอร์ต เป็นเหตุผลใหญ่ มีกรณีจริงใน การแข่งขัน Fortnite ที่มีการใช้ DDoS เพื่อทำให้คู่แข่งเสียเปรียบ
    • บางรายหวัง ปั่นตลาด ภายในเกม ในเกมที่มีสกุลเงินหรือไอเท็มที่ซื้อขายได้ การล่มของเซิร์ฟเวอร์ย่อมส่งผลต่อราคา
      บางกรณีก็เพื่อก่อกวนอีเวนต์หรือทัวร์นาเมนต์ หรืออาจเป็นแค่ การโทรลล์ เพราะคับแค้นใจกับนักพัฒนา
    • สาเหตุที่ใหญ่กว่าอาจไม่ใช่ตัวเกม แต่เป็น การแข่งขันระหว่างเว็บพนัน ถ้าทำให้เว็บคู่แข่งล่มได้ไม่กี่ชั่วโมง เงินก็ไหลมหาศาล
      ในวิดีโอของ CoffeeZilla ล่าสุดก็มีการพูดถึงพฤติกรรมแปลก ๆ ของ คาสิโนเกมมิง แบบนี้ด้วย
    • พูดอีกครั้งว่า ทั้งหมดนี้เกิดขึ้นเพราะ ตลาดพนันอีสปอร์ต ใหญ่มาก

  • จากข่าวที่เกี่ยวข้อง ดูเหมือนว่าบอตเน็ต Aisuru กำลังพัฒนา เช่น ถูกถอดออกจากรายชื่อโดเมนหลักของ Cloudflare หรือ เปลี่ยนไปใช้เรสซิเดนเชียลพร็อกซี

  • ในเดือนเมษายน 2025 มีเหตุที่เซิร์ฟเวอร์เฟิร์มแวร์ของ TotoLink ถูกแฮ็ก จน เราเตอร์ 100,000 เครื่องติดมัลแวร์
    โครงการโอเพนซอร์สอย่าง OpenWRT นั้นดีอยู่แล้ว แต่ก็อดกังวลไม่ได้ว่าใครเป็นคนดูแลความปลอดภัยของเซิร์ฟเวอร์ และสงสัยว่าการใช้ลายเซ็นดิจิทัลจะป้องกันได้ไหม

    • OpenWRT ปกป้องเฟิร์มแวร์และแพ็กเกจด้วย ลายเซ็นดิจิทัล และยังสามารถตรวจสอบลายเซ็นก่อนอัปเดตได้เอง
      แต่ถ้ามีการติดเชื้อในขั้นตอนหลัง build และก่อนเซ็น ก็ยังสร้างความเสียหายวงกว้างได้ ดังนั้น reproducible builds จึงสำคัญ
      เอกสารความปลอดภัยของ OpenWRT
    • จริง ๆ แล้วบริษัทเอกชนเองก็มัก ลงทุนกับบุคลากรด้านความปลอดภัยให้น้อยที่สุด ด้วย เราเตอร์เชิงพาณิชย์หลายรุ่นกลับยิ่งเปราะบางกว่า
    • เพราะแบบนี้ OpenWRT จึง ปิดการอัปเดตอัตโนมัติเป็นค่าเริ่มต้น
    • รีโพซิทอรีโอเพนซอร์สมีคนเฝ้าดูเป็นร้อย แต่ build server ของบริษัทอาจมีแค่คนหนึ่งหรือสองคนที่เคยดู
    • มีคนชี้ว่าการถกเถียงนี้เป็นเพียง การพูดเบี่ยงประเด็น ในทำนองว่า “แล้วเรื่องความปลอดภัยล่ะ”

  • DDoS มักถูกใช้เพื่อ เบี่ยงเบนความสนใจของทีมความปลอดภัย เปิดทางให้โจมตีอย่างอื่นแบบเงียบ ๆ ท่ามกลางความวุ่นวาย

    • แต่ก็ยังน่าสงสัยว่ามันเกิดขึ้น “บ่อย” แค่ไหน เพราะระหว่างรับมือ DDoS ก็มักไม่ได้ลดระดับการตั้งค่าความปลอดภัยลง จึงอาจ ไม่ใช่กลยุทธ์ที่มีประสิทธิภาพนัก
    • น่าสนใจที่แม้ MS จะเจอการโจมตีระดับทำลายสถิติ แต่บริการก็ ไม่มีอาการหน่วง เลย มีมุกแซวด้วยว่าอาจช้าเป็นปกติอยู่แล้วจนไม่มีใครสังเกต

  • IoT ยังคงเป็น คลื่นของอุปกรณ์ที่มีความปลอดภัยย่ำแย่ เราต้องการวิธีที่ดีกว่านี้

    • ถ้า ISP จำกัดเราเตอร์ที่ลูกค้าใช้ได้ ความปลอดภัยอาจดีขึ้นก็จริง แต่ก็น่ากังวลเรื่อง เสรีภาพที่ลดลง
    • มีมุกว่า “S ใน IoT ย่อมาจาก Security” สะท้อนปัญหาเชิงโครงสร้างที่ขาดความปลอดภัยมาตั้งแต่ต้น
    • พอมีคนบอกว่า “เราต้องการวิธีที่ดีกว่านี้” ก็มีคนตอบแบบประชดว่า “ก่อนหน้านั้นจะมีคลื่นลูกที่ใหญ่กว่านี้มาอีก”
    • ยังมีการวิเคราะห์อีกว่า นโยบายบังคับอัปเดตความปลอดภัยอัตโนมัติ ในยุโรป อาจย้อนแย้งจนกลายเป็นสาเหตุให้บอตเน็ตแพร่หนักขึ้น เพราะถ้าเซิร์ฟเวอร์อัปเดตถูกแฮ็ก อุปกรณ์หลายแสนเครื่องก็จะติดพร้อมกัน

  • ลองเข้าไปอ่านบล็อกแล้ว แต่เกิด proxy error ขึ้นมา เป็นความย้อนแย้งดีที่บทความเกี่ยวกับเรื่องนี้เหมือนจะถูก DDoS จนเข้าไม่ได้

  • ไม่เข้าใจว่าทำไมถึงไม่มี หน่วยงานเฉพาะทางด้านอาชญากรรมไซเบอร์ระดับนานาชาติ ที่จะมาหยุดพฤติกรรมแบบนี้ได้

    • มันเป็นไปไม่ได้เพราะปัญหาเรื่อง อธิปไตยของแต่ละประเทศ และผลประโยชน์ทางการเมือง บางประเทศถึงขั้นได้ประโยชน์จากอาชญากรรมพวกนี้ด้วยซ้ำ
    • ในความเป็นจริง การสืบสวนแบบร่วมมือกันระหว่างประเทศมีอยู่ต่อเนื่องอยู่แล้ว แต่เพราะ ข้อจำกัดทางการเมือง ต่อให้ตั้งหน่วยงานใหม่ขึ้นมาก็คงไม่ได้เปลี่ยนอะไรนัก
    • แม้องค์กรที่มีอยู่แล้วอย่าง UN ก็ยัง หยุดสงคราม การค้ามนุษย์ หรือการฟอกเงิน ไม่ได้ทั้งหมด ถึงอย่างนั้นก็ดีกว่าปล่อยให้ไร้กฎเกณฑ์โดยสิ้นเชิง แม้จะมีข้อจำกัดชัดเจนก็ตาม
    • จีนกับรัสเซียอยากเห็นฝั่งตะวันตกสะดุดล้ม ในสถานการณ์แบบนี้จึง ยากจะคาดหวังความร่วมมือ
    • มีมุกว่า “Team America, World Police?” แต่ถึงจะมีตำรวจโลกจริง ก็ควรเน้น การป้องกันมากกว่าการยับยั้ง
      ตัวอย่างเช่น ถ้ามี สนธิสัญญาที่บังคับใช้มาตรฐานความปลอดภัย ก็อาจช่วยลดจำนวนเราเตอร์ผู้บริโภคที่เปราะบาง และทำให้ตลาด DDoS หดตัวลงได้
      แต่เพราะอาชญากรพวกนี้ มักเล่นงานแต่เป้าหมายที่อ่อนแอแทนที่จะไปชนกับคนที่แข็งแรงกว่า สังคมจึงไม่ค่อยสนใจเท่าไร

  • น่าเสียดายที่มี โหนด มากมายขนาดนี้ แต่กลับไม่คิดเอาไปสร้างเทคโนโลยีเจ๋ง ๆ ใช้กัน กลับเอาไปใช้แค่เพื่อศักดิ์ศรีส่วนตัว
    ทั้งที่มันน่าจะเอาไปทำเครือข่ายแบบ Tor หรือ ระบบจัดเก็บถาวรแบบกระจายศูนย์ ได้ สุดท้ายแล้วกลับสูญเปล่าไปกับอาชญากรรม

  • คำถามแบบ “ใครได้ประโยชน์ (Cui bono)?” ผุดขึ้นมา มันชวนสงสัยว่าการโจมตีขนาดใหญ่นี้คุ้มค่าจริงหรือไม่ หรือมี การเรียกค่าไถ่ ซ่อนอยู่เบื้องหลังหรือเปล่า

    • ในความเป็นจริงมัน แทบไม่มีต้นทุนเลย และพวกนี้ก็สุ่มโจมตีเซิร์ฟเวอร์อย่าง Minecraft มาหลายเดือนแล้ว

  • จุดที่แปลกคือเขาบอกว่า โจมตีเพียง endpoint เดียวในออสเตรเลีย แล้วทำไมถึงต้องใช้ DDoS ระดับใหญ่ที่สุดในโลกกับที่นั่น?
    ถ้ามี CDN อยู่ก็น่าจะมีโครงสร้างซ้ำซ้อน แล้ว ใครเป็นคนจ่ายและได้อะไรกลับไป ก็น่าสงสัย

    • DDoS ไม่ใช่ สัญญาณ แต่เป็นเสียงรบกวน จุดประสงค์ของการโจมตีอาจเป็นการถม log ให้กลบ เป้าหมายที่แท้จริง APT28/29 ก็ใช้กลยุทธ์แบบนี้
    • หรืออาจเป็นแค่ ดราม่าอารมณ์เดือดในหมู่เกมเมอร์ออสเตรเลีย ก็ได้ มีมุกทำนองว่า “Simmo โกรธเพราะ Jonno เลิกกับน้องสาวเขา”
    • ในความเป็นจริง การโจมตีแบบนี้ เกิดขึ้นทุกวัน และส่วนใหญ่ก็ถูกบล็อกโดยโซลูชันป้องกันอย่าง Cloudflare Magic Transit
      จึงอาจไม่จำเป็นต้องตีความให้ลึกเกินไปก็ได้