-
09/04/2020
-
125
-
1.557 bài viết
Kỷ lục mới của DDoS: Botnet Aisuru tạo đỉnh tấn công 31,4 Tbps, vượt xa mọi tiền lệ
Một chiến dịch tấn công từ chối dịch vụ phân tán với quy mô chưa từng được công bố trước đây vừa được ghi nhận, khi botnet Aisuru, còn được biết đến với biến thể Kimwolf, tạo ra lưu lượng tấn công lên tới 31,4 terabit mỗi giây. Đây là mức cao nhất từng xuất hiện trong lịch sử DDoS công khai, đánh dấu một bước leo thang rõ rệt trong cuộc chạy đua giữa năng lực tấn công của tin tặc và hạ tầng phòng thủ Internet toàn cầu.
Chiến dịch mang tên “The Night Before Christmas” bắt đầu từ ngày 19/12/2025, nhắm trực tiếp vào hạ tầng Cloudflare cùng nhiều khách hàng của nền tảng này. Các đợt tấn công kết hợp đồng thời DDoS tầng mạng với băng thông cực lớn và các đợt HTTP flood ở tầng ứng dụng, trong đó lưu lượng HTTP vượt ngưỡng 200 triệu yêu cầu mỗi giây.
Đỉnh tấn công 31,4 Tbps đã vượt qua kỷ lục cũ 29,7 Tbps do chính botnet Aisuru tạo ra hồi tháng 9/2025, cho thấy khả năng mở rộng và thích nghi rất nhanh của hạ tầng botnet này chỉ trong vài tháng.
Android TV trở thành vũ khí DDoS quy mô Internet
Nguồn lực chính của chiến dịch đến từ hàng triệu thiết bị Android TV box không chính thức. Đây là các thiết bị streaming giá rẻ, ít được cập nhật bản vá, thường hoạt động liên tục và nằm trong mạng dân dụng. Tin tặc đã khai thác nhóm thiết bị này để tạo ra một mạng botnet phân tán với khả năng sinh lưu lượng ở mức mà trước đây chỉ các hệ thống hạ tầng chuyên dụng mới đạt được.
Theo đánh giá, quy mô 31,4 Tbps đủ để làm quá tải phần lớn các nhà cung cấp dịch vụ chống DDoS hiện nay. Nếu đặt trong kịch bản giả định, các hệ thống như Akamai Prolexic với công suất khoảng 20 Tbps, Netscout Arbor Cloud 15 Tbps hay Imperva 13 Tbps sẽ phải đối mặt với mức sử dụng vượt quá năng lực thiết kế từ 150% đến hơn 240%.
Phân tích phân bố cho thấy phần lớn các đợt tấn công không duy trì kéo dài, mà tập trung vào những đợt bùng phát ngắn nhưng cực mạnh. Hơn 90% số đợt tấn công đạt đỉnh trong khoảng 1 đến 5 Tbps, chỉ một tỷ lệ rất nhỏ vượt mốc 30 Tbps. Về mặt tốc độ gói tin, đa số các đợt tấn công dao động trong khoảng 1 đến 5 tỷ gói mỗi giây.
Thời lượng tấn công phản ánh rõ chiến lược “đánh nhanh, đánh gắt”. Phần lớn các đợt kéo dài từ 60 đến 120 giây, chỉ khoảng 6% vượt quá hai phút. Cách tiếp cận này nhằm tạo áp lực tối đa lên hệ thống phòng thủ trước khi các cơ chế giảm thiểu được kích hoạt đầy đủ.
Theo đánh giá, quy mô 31,4 Tbps đủ để làm quá tải phần lớn các nhà cung cấp dịch vụ chống DDoS hiện nay. Nếu đặt trong kịch bản giả định, các hệ thống như Akamai Prolexic với công suất khoảng 20 Tbps, Netscout Arbor Cloud 15 Tbps hay Imperva 13 Tbps sẽ phải đối mặt với mức sử dụng vượt quá năng lực thiết kế từ 150% đến hơn 240%.
Phân tích phân bố cho thấy phần lớn các đợt tấn công không duy trì kéo dài, mà tập trung vào những đợt bùng phát ngắn nhưng cực mạnh. Hơn 90% số đợt tấn công đạt đỉnh trong khoảng 1 đến 5 Tbps, chỉ một tỷ lệ rất nhỏ vượt mốc 30 Tbps. Về mặt tốc độ gói tin, đa số các đợt tấn công dao động trong khoảng 1 đến 5 tỷ gói mỗi giây.
Thời lượng tấn công phản ánh rõ chiến lược “đánh nhanh, đánh gắt”. Phần lớn các đợt kéo dài từ 60 đến 120 giây, chỉ khoảng 6% vượt quá hai phút. Cách tiếp cận này nhằm tạo áp lực tối đa lên hệ thống phòng thủ trước khi các cơ chế giảm thiểu được kích hoạt đầy đủ.
Ngành game và dịch vụ số trở thành mục tiêu chính
Các đợt tấn công tập trung mạnh vào những lĩnh vực phụ thuộc trực tiếp vào độ ổn định mạng. Ngành game chiếm hơn 42% số mục tiêu của các đợt DDoS siêu lớn, tiếp theo là các công ty công nghệ thông tin và dịch vụ số. Viễn thông, nhà cung cấp Internet, cá cược trực tuyến và phần mềm máy tính cũng nằm trong nhóm bị nhắm tới, dù tỷ lệ thấp hơn.
Tấn công theo khu vực
Dữ liệu cho thấy các đợt tấn công tập trung chủ yếu tại Mỹ, quốc gia chịu ảnh hưởng nặng nề nhất, tiếp đến là Trung Quốc và Hong Kong, cùng nhiều trung tâm Internet và kinh tế lớn tại châu Âu, châu Mỹ và châu Á. Phân bố này phản ánh xu hướng tin tặc ưu tiên nhắm vào các khu vực có mật độ hạ tầng mạng cao và giá trị dịch vụ lớn.
Aisuru và Kimwolf: sự tiến hóa của một botnet hiện đại
Botnet Aisuru đã nổi lên như một trong những mối đe dọa DDoS đáng gờm nhất trong vài năm trở lại đây. Biến thể Kimwolf, tập trung vào Android, tách ra từ tháng 8/2025 và nhanh chóng mở rộng quy mô. Các nhà nghiên cứu ghi nhận hơn 2 triệu thiết bị Android TV bị lây nhiễm, kết hợp với mạng proxy dân dụng để xây dựng hệ thống điều khiển phân tán, khó bị triệt phá.
Botnet này từng gây chú ý vào tháng 10/2025 khi tạo ra lưu lượng đủ lớn để đẩy một số tên miền lên top đầu bảng xếp hạng truy cập toàn cầu của Cloudflare. Dù các đơn vị như Black Lotus Labs của Lumen đã vô hiệu hóa hàng trăm máy chủ điều khiển, botnet vẫn liên tục chuyển sang hạ tầng mới, tận dụng các dải IP dân dụng và hệ thống tự trị phổ biến.
Botnet này từng gây chú ý vào tháng 10/2025 khi tạo ra lưu lượng đủ lớn để đẩy một số tên miền lên top đầu bảng xếp hạng truy cập toàn cầu của Cloudflare. Dù các đơn vị như Black Lotus Labs của Lumen đã vô hiệu hóa hàng trăm máy chủ điều khiển, botnet vẫn liên tục chuyển sang hạ tầng mới, tận dụng các dải IP dân dụng và hệ thống tự trị phổ biến.
Bức tranh DDoS toàn cầu năm 2025
Kỷ lục 31,4 Tbps xuất hiện trong bối cảnh số lượng tấn công DDoS toàn cầu tăng bùng nổ. Năm 2025 ghi nhận hơn 47 triệu cuộc tấn công, tăng hơn gấp đôi so với năm trước. Riêng Cloudflare đã phải xử lý trung bình hơn 5.000 cuộc tấn công mỗi giờ.
Tấn công tầng mạng là động lực chính của xu hướng này, với số lượng tăng hơn ba lần chỉ trong một năm. Các đợt tấn công vượt ngưỡng 100 triệu gói mỗi giây tăng vọt, trong khi các cuộc tấn công trên 1 Tbps cũng tăng mạnh theo quý.
Tấn công tầng mạng là động lực chính của xu hướng này, với số lượng tăng hơn ba lần chỉ trong một năm. Các đợt tấn công vượt ngưỡng 100 triệu gói mỗi giây tăng vọt, trong khi các cuộc tấn công trên 1 Tbps cũng tăng mạnh theo quý.
Nguồn tấn công DDoS
Ở tầng ứng dụng, phần lớn các đợt HTTP DDoS đến từ botnet đã được nhận diện, cho thấy mức độ công nghiệp hóa ngày càng cao của hoạt động tấn công.
Dữ liệu cho thấy các đợt tấn công tập trung chủ yếu tại nhiều quốc gia và vùng lãnh thổ có hạ tầng Internet lớn, với Bangladesh vươn lên trở thành nguồn phát tán DDoS lớn nhất toàn cầu trong quý IV/2025, vượt qua Indonesia (tụt xuống hạng ba). Ecuador đứng thứ hai, trong khi Argentina tăng 20 bậc, xếp thứ tư. Các nguồn phát tán đáng chú ý khác gồm Hong Kong, Ukraine, Việt Nam (xếp thứ bảy), Đài Loan, Singapore và Peru. Theo các chuyên gia, việc Việt Nam xuất hiện trong nhóm này phản ánh thực trạng hạ tầng viễn thông và thiết bị IoT, Android TV bị tin tặc lợi dụng làm trung gian phát tán lưu lượng tấn công, thay vì cho thấy hoạt động tấn công có chủ đích từ trong nước.
Sự kiện “The Night Before Christmas” là lời cảnh báo rõ ràng về tương lai của DDoS. Khi botnet có thể huy động hàng triệu thiết bị IoT và Android giá rẻ, quy mô tấn công đã vượt xa khả năng phòng thủ của nhiều tổ chức. Trong bối cảnh đó, năng lực chống DDoS ở quy mô cực lớn không còn là lợi thế cạnh tranh, mà đang dần trở thành điều kiện sống còn đối với hạ tầng Internet hiện đại.
Dữ liệu cho thấy các đợt tấn công tập trung chủ yếu tại nhiều quốc gia và vùng lãnh thổ có hạ tầng Internet lớn, với Bangladesh vươn lên trở thành nguồn phát tán DDoS lớn nhất toàn cầu trong quý IV/2025, vượt qua Indonesia (tụt xuống hạng ba). Ecuador đứng thứ hai, trong khi Argentina tăng 20 bậc, xếp thứ tư. Các nguồn phát tán đáng chú ý khác gồm Hong Kong, Ukraine, Việt Nam (xếp thứ bảy), Đài Loan, Singapore và Peru. Theo các chuyên gia, việc Việt Nam xuất hiện trong nhóm này phản ánh thực trạng hạ tầng viễn thông và thiết bị IoT, Android TV bị tin tặc lợi dụng làm trung gian phát tán lưu lượng tấn công, thay vì cho thấy hoạt động tấn công có chủ đích từ trong nước.
Sự kiện “The Night Before Christmas” là lời cảnh báo rõ ràng về tương lai của DDoS. Khi botnet có thể huy động hàng triệu thiết bị IoT và Android giá rẻ, quy mô tấn công đã vượt xa khả năng phòng thủ của nhiều tổ chức. Trong bối cảnh đó, năng lực chống DDoS ở quy mô cực lớn không còn là lợi thế cạnh tranh, mà đang dần trở thành điều kiện sống còn đối với hạ tầng Internet hiện đại.
Theo Cyber Security News