上周，KrebsOnSecurity 遭受了近纪录的分布式拒绝服务（DDoS）攻击，每秒数据量超过 6.3 太比特（一太比特为一万亿比特数据）。这次短暂的攻击似乎是对一个新的大规模物联网（IoT）僵尸网络的测试运行，该僵尸网络能够发动毁灭性的数字攻击，很少有网站能够承受。

此次攻击规模是 2016 年 Mirai IoT 僵尸网络对该网站攻击规模的十倍，当时 Akamai 因攻击影响其付费客户而要求 KrebsOnSecurity 离开其服务。自 Mirai 攻击以来，KrebsOnSecurity 背后有 Google 提供的免费 DDoS 防御服务“Project Shield”。Google 安全工程师 Damian Menscher 称 5 月 12 日的攻击是 Google 处理过的最大规模攻击，仅次于 Cloudflare 在 4 月处理的类似攻击。

经与 Cloudflare 对比，发起这两次攻击的僵尸网络带有 Aisuru 的特征，Aisuru 僵尸网络由全球分散的 hacked IoT 设备组成，包括通过默认密码或软件漏洞被控制的路由器、数字视频录像机等系统。Aisuru 最初在 2024 年 8 月的一次大型游戏平台攻击中被识别，之后在 11 月再次出现并增强了攻击能力。

Aisuru 僵尸网络背后的人在公共 Telegram 聊天频道中兜售其 DDoS 机器的访问权限，感兴趣的人可联系“@yfork”购买订阅。FBI 称 Forky 的 DDoS 租赁域名已在多次执法行动中被扣押，去年 Forky 称在出售 stresser[.]best 域名，该域名服务器已被 FBI 扣押。

通过对 Forky 在公共 Telegram 频道的帖子审查，发现其为 21 岁的巴西人。Forky 起初否认参与对 KrebsOnSecurity 的攻击，后承认曾帮助开发和营销 Aisuru 僵尸网络，称自己现在只是 Aisuru 团队的工作人员，两个月前因成家而停止运营。

上周的 6.3Tbps 攻击对该网站未造成明显干扰，部分原因是攻击时间很短约 45 秒，这类大规模且短暂的攻击通常是僵尸网络运营商为潜在买家测试或展示其能力。Aisuru/Airashi 僵尸网络的威胁让人想起 2016 年的 Mirai，Mirai 作者在运营 DDoS 缓解服务的同时销售 DDoS 租赁服务，后泄露源代码导致其被逮捕，也引发了众多 Mirai 僵尸网络克隆。Menscher 称如果 Aisuru 的源代码公开，可能会导致其克隆增多，但单个僵尸网络的火力会减弱，也希望有人能公布 Aisuru 运营商用于快速扩大僵尸网络的软件漏洞列表。