Ваша ТВ-приставка вышла на тропу кибервойны (и случайно сломала анонимный интернет)

Анонимная сеть I2P недавно начала работать с перебоями, и пользователи быстро заметили, что дело не в обычном сбое. Сеть перегрузило огромное количество новых узлов, которые подключались, но почти не передавали данные. Позже выяснилось, что это результат попытки крупного ботнета Kimwolf встроиться в инфраструктуру I2P.

Kimwolf появился в конце 2025 года и за короткое время заразил миллионы плохо защищённых устройств. Речь идёт о телевизионных приставках, цифровых фоторамках, домашних маршрутизаторах и другой технике. Заражённые устройства используют как промежуточные узлы для вредоносного трафика и мощных распределённых атак на отказ в обслуживании.

I2P – это децентрализованная зашифрованная сеть для анонимного общения и обмена данными. Она работает за счёт добровольных узлов, которые пересылают трафик друг через друга в несколько слоёв шифрования и скрывают адреса отправителя и получателя. Сеть применяют для частных сайтов, переписки и передачи файлов без раскрытия личности.

3 февраля пользователи I2P начали массово писать на странице проекта о резком росте числа новых маршрутизаторов в сети. Речь шла о десятках тысяч узлов, которые подключались, но не передавали данные. Из-за этого нормальные соединения стали срываться, а у некоторых перегружались даже домашние устройства. Один из участников обсуждения сообщил, что его физический маршрутизатор зависает, когда число соединений превышает 60 тысяч.

Разработчики опубликовали график, на котором видно резкое падение успешных подключений примерно в тот же момент, когда управляющие ботнетом начали использовать I2P как резервный канал связи. В своём канале в Discord операторы признали, что сами нарушили работу сети, когда попытались добавить в неё около 700 тысяч заражённых узлов.

Хотя Kimwolf известен прежде всего как инструмент для атак на отказ в обслуживании, в этом случае произошла так называемая атака Сивиллы. В одноранговых сетях так называют ситуацию, когда один участник создаёт огромное число поддельных узлов и за счёт этого ломает нормальную работу всей системы. Масштаб подключения заражённых устройств во много раз превысил обычный размер сети I2P.

По открытым данным, раньше в I2P насчитывалось около 55 тысяч компьютеров по всему миру. Один из создателей сети Лэнс Джеймс говорит, что сейчас ежедневно в ней работает примерно от 15 до 20 тысяч устройств. На фоне этих цифр попытка добавить сотни тысяч узлов выглядела как цифровой потоп.

Исследователь Бенджамин Брандадж, который изучает прокси-сервисы и первым описал особенности распространения Kimwolf, считает, что операторы ботнета ищут устойчивую систему управления, которую трудно отключить совместными усилиями защитных компаний и операторов связи. Они пробуют использовать I2P и сеть Tor как запасные каналы управления. При этом заметных сбоев в сети Tor в последние дни не фиксировали. По его оценке, цель была не в том, чтобы обрушить I2P, а в том, чтобы сохранить управление ботнетом при попытках блокировки.

В конце прошлого года Kimwolf уже создавал проблемы крупным сетевым компаниям. Миллионы заражённых устройств получили команду использовать определённые настройки службы доменных имён, из-за чего управляющие домены ботнета поднимались в публичных рейтингах самых запрашиваемых адресов, обгоняя сайты крупнейших технологических корпораций.

Сейчас сеть I2P продолжает работать примерно на половине обычной мощности. Разработчики выпускают обновление, которое должно повысить устойчивость в ближайшие дни. Есть и ещё один любопытный поворот. По словам Брандаджа, внутри группы, управляющей Kimwolf, возник конфликт, и часть сильных разработчиков ушла. Из-за ошибок в настройке число заражённых устройств за неделю сократилось более чем на 600 тысяч. Судя по наблюдениям исследователей, операторы ботнета действуют наугад и теряют контроль над своим же инструментом.