Российский интернет атакуют
- понедельник, 6 июля 2026 г. в 00:00:05

привет, Хабр! на днях по новостным лентам пронеслась тревожная весть: российский сегмент интернета столкнулся с беспрецедентной DDoS-атакой мощностью в 2,56 тбит/с при интенсивности в 1 миллиард пакетов в секунду. специалисты StormWall назвали это «генеральной репетицией чего-то большего» и отметили, что за атаками стоит хорошо подготовленная команда, тестирующая новый ботнет.
сам StormWall название ботнета не назвал — в их отчете речь идет просто о «ботнете нового поколения». дальше в статье я излагаю свою версию: на основе анализа других отчетов по двум относительно новым ботнетам, CECbot и RustDuck, я считаю что почерк атаки похож именно на них. это не заявление StormWall и не официальная атрибуция — это моя реконструкция по косвенным признакам, и я буду explicitно отделять, где заканчиваются факты StormWall и начинается моя гипотеза.
вот что реально написал StormWall. атаки были не примитивным UDP-флудом. злоумышленники одновременно имитировали поведение реальных пользователей, создавали полноценные TCP-соединения и на лету меняли параметры пакетов. цель — обойти системы защиты, настроенные на отлов «мусорного» трафика. это попытка сделать DDoS неотличимым от легитимного трафика, а не просто забить канал.
интересно, как атакующие готовили почву. StormWall зафиксировал серию «зондирующих проверок» — коротких, но специфических запросов, которыми ботнет изучал конфигурацию защиты цели. как только специалисты заблокировали эти «щупальца», атакующие мгновенно поменяли тактику. это говорит о том, что за ботнетом сидят операторы в реальном времени, а не просто скрипт, который отработал и забыл.
текущий год бьет рекорды. количество DDoS-инцидентов в первом полугодии 2026 выросло на 168% год к году. только глобальные сети очистки трафика с емкостью 8 тбит/с и выше смогли безболезненно переварить такой поток. если в 2025 году 70% атак были «тупым» UDP-флудом, то в 2026 уже 45% инцидентов используют имитацию TCP-сессий и методы прикладного уровня.
география тоже изменилась. раньше основная активность шла из Бразилии и Индии, теперь источники трафика — Россия, США, Германия, Нидерланды, Ирак, Азербайджан, Казахстан, Мексика и ряд других стран. под удар попадают игровые проекты, хостинг-провайдеры, телеком-операторы, корпоративные сети. никаких требований выкупа, никаких политических заявлений — чистый стресс-тест перед чем-то более серьезным.

дальше — не пересказ StormWall, а мой собственный анализ. я сопоставил описание атаки с тем, что известно про два ботнета из отдельных отчетов профильных исследовательских команд.
CECbot разобрала команда Nokia Deepfield ERT в отчете от 21 марта 2026 года (полный текст лежит у них в открытом репозитории public-research на GitHub). это специализированный ботнет для Android TV, прямой операционный преемник Katana — тот же package name com.google.android.update, тот же круг устройств, но код написан с нуля. Katana — это скомпилированный C-бинарник под uClibc с однобайтовым XOR и открытым протоколом C2. CECbot — нативное Android-приложение: Java-слой C2, нативный движок атаки через JNI, обмен ключами по Curve25519, аутентификация сервера через Ed25519, шифрование трафика ChaCha20-Poly1305 — тот же криптографический набор, что у Signal и WireGuard. разрыв между Katana и CECbot исследователи описывают как разницу в несколько десятилетий криптографического дизайна.
связь с оператором Katana не косвенная, а прямая: сервер 91.92.241.12 держит и C2 старого Katana на порту 6969, и C2 нового CECbot на порту 10213 — один физический сервер, разные порты, разные ботнеты одного оператора в переходный период.
главная фишка CECbot — использование протокола HDMI-CEC, и это первый документированный случай применения этой техники малварью в реальных условиях (до этого было только упоминание в диссертации 2021 года). ботнет способен отправлять телевизору команды через HDMI-кабель, включая перевод в режим ожидания, пока сама приставка продолжает работать. вторая примечательная возможность — сканирование локальной сети через ICMP и корреляцию по ARP-таблице: скомпрометированная приставка превращается в разведывательную площадку внутри домашней или корпоративной сети. ни одна из этих команд не запускается автоматически во время самой DDoS-атаки — оператор должен явно ее вызвать, это отдельная функция, а не часть флуда.
протокол C2 использует восьмибайтный заголовок с магическим числом 0xBEEF в каждом кадре, включая хендшейк. движок атаки поддерживает 11 методов, включая полноценный L7-флуд с HTTP/2 и динамической загрузкой TLS прямо из системных библиотек Android, имитацией 8 семейств браузеров и пулом из 660+ реальных referer-адресов. персистентность держится на 9 независимых механизмах — от foreground-сервиса с пустым уведомлением до захвата порта ADB 5555 и блокировки удаления через настройки. распространяется CECbot через ту же цепочку residential-proxy-to-ADB, что и ботнет Kimwolf: дешевые несертифицированные приставки идут с предустановленным proxyware SDK, который открывает ADB-порт наружу и позволяет туннелировать до других устройств в той же локальной сети.
RustDuck отслеживает QiAnXin XLab с февраля 2026 года, разбор вышел в конце июня и получил освещение в The Hacker News, SecurityAffairs, GBHackers и FastNetMon. ботнет находится в процессе полного перехода с C на Rust, что делает анализ сложнее и стабильность выше. архитектура двухэтапная: loader распаковывает и передает управление тяжелому core-модулю. loader прошел через 4 задокументированных варианта шифрования, от простого LCG с XOR до ChaCha20 в последней версии. для распространения используется брутфорс telnet/ssh по слабым паролям, а также эксплуатация конкретных CVE: CVE-2017-17215 в роутерах Huawei HG532, CVE-2025-29635 в снятых с производства D-Link DIR-823X (эту уязвимость Akamai фиксировала в мартовской кампании Mirai-вариантов, а CISA добавила в свой список эксплуатируемых уязвимостей месяцем позже), CVE-2024-1781 в Totolink X6000R и CVE-2018-8007 в Apache CouchDB. плюс уязвимости в ADB, TVT API, оборудовании Ruijie, TP-Link, ZTE, и веб-софте вроде ThinkPHP, Jenkins, Hadoop YARN.
XLab насчитал более 20 IP-адресов, которые активно раздают малварь, самый активный — 176.65.139.204. шифрование трафика построено на ChaCha20-Poly1305 для хендшейка и AES-GCM для рабочих команд, ключи выводятся через HKDF-SHA256 с обменом по Curve25519 и обновляются каждые десять минут. для C2-инфраструктуры используются бесплатные dynamic DNS вроде DuckDNS — отсюда и «Duck» в названии. отдельно исследователи отмечают, что перед активацией на устройстве RustDuck прогоняет чек-лист на признаки песочницы или honeypot: ищет Wireshark, gdb, подключенные отладчики, виртуальное железо — и если риск-скор превышает порог, стирает следы и завершает работу до того, как его успеют изучить.
важная деталь от самих исследователей XLab: самый активный IP доставки RustDuck, 176.65.139.204, находится в том же небольшом блоке адресов, что и сервер отдельного ADB-таргетящего ботнета, о котором писали весной 2026. XLab прямо говорит, что это может быть совпадением или общим bulletproof-хостингом, и никакой связи между двумя ботнетами не утверждает — но отмечает, что совпадение стоит проверить. я привожу эту деталь именно с той же осторожностью, с какой ее дают сами исследователи.
почему я думаю, что CECbot и RustDuck имеют отношение к атаке StormWall, а не что-то ещё. в марте 2026 прошла крупная международная операция по ликвидации инфраструктуры Aisuru и Katana. практически сразу же Nokia Deepfield ERT фиксирует CECbot на инфраструктуре бывшего оператора Katana, а XLab с февраля параллельно ведет RustDuck. в июне StormWall фиксирует рекордную атаку с признаками именно того уровня инженерной подготовки, который описан в обоих отчетах — эмуляция легитимного трафика, смена параметров пакетов на лету, адаптация к защите в реальном времени.
но важная оговорка остается в силе. совпадение по времени и по общим паттернам поведения — это не прямое доказательство, а признак, который в 2026 году есть у нескольких продвинутых ботнетов сразу. StormWall в своем отчете ни CECbot, ни RustDuck не называет. у меня нет прямого сопоставления IP или доменов из логов конкретно атаки 20-23 июня с C2-инфраструктурой CECbot или RustDuck — такого сопоставления в открытых источниках нет, и сам я его не проводил. то, что я излагаю — это гипотеза с разумной вероятностью, построенная на сходстве почерка и совпадении по времени, а не установленный факт атрибуции. если у кого-то есть данные, которые ее подтверждают или опровергают, — пишите в комментарии, интересно сверить.
ниже — домены и IP, которые я собрал из открытых технических отчетов по CECbot (Nokia Deepfield ERT) и RustDuck (QiAnXin XLab) отдельно от конкретной атаки StormWall. это IOC по самим ботнетам, актуальные на июль 2026 — не список, привязанный именно к атаке 2,56 тбит/с. используйте для проверки логов, но учитывайте: fast-flux и DGA-домены живут часами, часть списка к моменту чтения статьи уже может быть неактуальна.
sdkconnecter.com — первичный C2, fast-flux DNS, резолвится в 18 IP через round-robin на площадках OVH, IBM Cloud, CloudBackbone, Baxet Group и другие
sdkconnect121.st — вторичный C2, тот же .st TLD, что и у C2 Katana (thespacemachines.st) — совпадение выбора зоны, еще один штрих к атрибуции одному оператору
c2kxpjr7cux7fqrfmimsz7rtq527xauw627xrjojimt66nwxqvrqbuyd.onion — Tor fallback на порту 80, активируется после 2+ подряд неудачных подключений к clearnet-C2
порт C2: 10213/TCP, зашит в код
SHA-256 сэмпла: b3c1d5fc273d19556b09f935b9b09b782b113b98a8a010ebcbb5de5bfce77e67
сетевая сигнатура: TCP-сегменты к C2 начинаются с магии \xBE\xEF, хендшейк — 64 байта от клиента, 96 байт от сервера
91.92.241.12 — Omegatech Ltd, NL — тот же сервер держит C2 Katana на порту 6969
148.113.3.62 — OVH SAS, IN
169.40.104.39 — Rainbow Facilities Inc., US
185.31.200.15, 185.31.200.52, 185.31.200.86 — AS56971 Cloud, NL
185.92.182.10 — AS56971 Cloud, US
194.116.217.131 — AS56971 Cloud, FR
31.56.117.35 — AS56971 Cloud, LV
31.57.47.141, 31.57.63.53, 31.57.63.129 — AS56971 Cloud, US
31.58.171.203 — AS56971 Cloud, FI
46.8.68.161 — AS56971 Cloud, NL
51.161.207.186 — OVH SAS, AU
88.151.195.83, 88.151.195.128 — Baxet Group Inc., UA
91.108.248.238 — Regra Company for Information Technology Ltd, PL
полный список из 18 IP fast-flux ротации CECbot лежит в машиночитаемом виде в репозитории Nokia Deepfield ERT (cecbot/iocs/ips.csv), туда же выложены хеши и ключи для детектирования.
176.65.139.204 — самый активный IP доставки малвари, находится в одном адресном блоке с инфраструктурой другого ADB-таргетящего ботнета (связь не подтверждена самими исследователями, отмечена как совпадение, требующее проверки)
*.DuckDNS.org — множество поддоменов, быстрая ротация через бесплатный dynamic DNS
эксплуатируемые CVE: CVE-2017-17215 (Huawei HG532), CVE-2025-29635 (D-Link DIR-823X), CVE-2024-1781 (Totolink X6000R), CVE-2018-8007 (Apache CouchDB)
всего зафиксировано более 20 адресов, участвующих в распространении малвари — полный список в отчете XLab (blog.xlab.qianxin.com/rustduck-en)
dvrxpert.tiananmensquare1989.su — связан с экосистемой Aisuru, используется для получения C2-адресов
домены вроде tiananmensquare1989.su не случайны — политически заряженные имена затрудняют работу автоматических систем анализа, часть корпоративных фильтров блокирует отчеты просто из-за наличия в них определенных слов. а sdkconnecter.com маскируется под системный шум — в потоке логов от сотен Android-устройств запрос к «сервису обновлений SDK» никто не замечает.
StormWall прямо предупреждает: если имитация легитимного трафика дойдет до совершенства, отличить DDoS от обычных пользователей станет почти невозможно, а традиционные методы фильтрации перестанут работать. с этим выводом я согласен полностью, он не зависит от того, подтвердится ли моя атрибуция CECbot и RustDuck или нет.
мощность атаки | 2,56 тбит/с, зафиксировано StormWall, 20-23 июня 2026 |
интенсивность | 1 млрд пакетов в секунду |
атрибуция ботнета | не подтверждена StormWall; CECbot и RustDuck — моя гипотеза |
уникальная фишка CECbot | управление телевизорами через HDMI-CEC |
технологии RustDuck | Rust, loader+core, dynamic DNS ротация |
география источников | Россия, США, Бразилия, ЕС, Казахстан и другие |
атака в 2,56 тбит/с с 1 млрд pps — подтвержденный факт от StormWall, никакой ботнет они официально не назвали. CECbot и RustDuck — два реальных, отдельно задокументированных профильными командами ботнета: первый разобрала Nokia Deepfield ERT в марте, второй ведет QiAnXin XLab с февраля. связь именно этих двух ботнетов с июньской атакой на Россию — моя гипотеза по совпадению почерка и времени, а не установленная атрибуция. если она подтвердится другими данными — вернусь и выпущу другую статью.
если дома есть Android-приставка или смарт-телевизор, стоит проверить несколько вещей.
закройте порт ADB (5555) — в настройках разработчика на приставке отладка по USB/сети должна быть выключена, это основная точка входа для CECbot. смените пароли по умолчанию на роутере — RustDuck брутфорсит именно дефолтные admin/admin. если телевизор начал жить своей жизнью — сам выключается, переключает входы без причины — стоит проверить приставку на подозрительные APK, это может быть побочный эффект HDMI-CEC атаки. на роутере имеет смысл настроить DNS с фильтрацией, например Quad9 или Cloudflare family, они блокируют запросы к известным C2-доменам. и проверяйте обновления прошивки вручную — даже дешевые китайские приставки иногда получают патчи.