От 11,8 до 44 Гбит/с, от Tor до IoT-устройств и от Марокко до Индии. Анатомия восьмимесячной DDoS-кампании

С начала 2025 года специалисты NETSCOUT фиксируют активную волну DDoS-атак, за которыми стоят, как предполагается, участники группировки Keymous+. За период с февраля по сентябрь зарегистрировано 249 таких инцидентов, охвативших 60 организаций в 15 странах и 21 отрасли.

По данным телеметрии ATLAS, в ходе этих атак применялись как стандартные методы перегрузки трафиком, так и мультивекторные сценарии с задействованием нескольких каналов одновременно. Особенно мощные удары происходили совместно с другой группировкой — DDoS54: в этом случае пропускная способность атак возрастала почти в четыре раза — с 11,8 до 44 Гбит/с.

Больше всего атак пришлось на государственные учреждения, гостиничную и туристическую отрасль, логистику, финансовые и телекоммуникационные сервисы. Наибольшее число инцидентов зафиксировано в Марокко, Саудовской Аравии, Судане, Индии и Франции. Такой географический срез позволяет предположить, что мотивация может быть как финансовой, так и политической, особенно с учётом частоты атак в регионе Ближнего Востока и Северной Африки.

Анализ временных шаблонов показывает, что действия Keymous+ организованы с высокой точностью. Почти треть всех атак приходилась на один час — около 06:00 UTC. Этот период совпадает с утренней активностью в целевых странах, когда открываются госорганы, активизируются транспортные системы, начинаются торги на рынках и регистрируются гости в отелях.

В такие моменты из-за роста легитимного трафика и ещё не до конца активных SOC-команд изоляция вредоносных потоков особенно затруднена. Кроме того, наблюдались вторичные пики в 01:00, 10:00 и 12:00 UTC, а также полное отсутствие активности в отдельные часы, что может указывать на внутренние ограничения или зависимость от арендованной инфраструктуры.

Сами атаки строились на использовании широкого набора инфраструктуры: от узлов сети Tor и облачных инстансов до домашних IoT-устройств, VPN-сервисов и прокси. В среднем за одну атаку использовалось более 42 тысяч уникальных IP-адресов, а в ряде случаев — сотни тысяч. Преобладающая часть трафика имела признаки подмены IP, что указывает на использование коммерческих DDoS-сервисов с возможностью маскировки под ASN известных провайдеров и дата-центров.

Среди применяемых техник отмечены как отражённые атаки с амплификацией (на основе протоколов CLDAP, DNS, memcached, NTP, SNMP, rpcbind и других), так и прямые флуды по TCP, UDP и DNS-запросам. Гибкость в выборе инструментов, масштаб, а также участие в кампании DDoS54 говорят о возрастающей киберугрозе со стороны Keymous+. После официального объявления об этом партнёрстве 12 апреля специалисты NETSCOUT зафиксировали значительный рост мощности и сложности векторной нагрузки, включая комбинированные атаки с использованием CLDAP и DNS-усилений, UDP-флудов и других приёмов.

Хотя участие других группировок вроде NoName057(16), Dark Storm Team или Anonymous Gaza пока не подтверждено, данные из открытых источников допускают возможную связь. Единственным официально зафиксированным сотрудничеством остаётся взаимодействие с DDoS54, подтверждённое как публичным заявлением, так и совпадающими телеметрическими данными.

Краткий итог кампании за восемь месяцев — почти 250 атак, охвативших пятнадцать стран и десятки компаний. Несмотря на кажущуюся простоту применяемых техник, Keymous+ продемонстрировала высокий уровень организации, широкий арсенал методов и возможность масштабировать атаки через союзников. Это указывает на необходимость пересмотра защитных стратегий против DDoS-нагрузок, особенно в секторах с уязвимой или критически важной инфраструктурой.