Demontáž čtyř IoT botnetů: globální akce zlikvidovala síť tří milionů zařízení zodpovědnou za rekordní DDoS útoky
Americké ministerstvo spravedlnosti ve spolupráci s orgány v Kanadě a Německu 20. března 2026 zlikvidovalo řídicí infrastrukturu čtyř největších IoT botnetů současnosti – Aisuru, KimWolf, JackSkid a Mossad. Koordinovaná akce podpořená soudním příkazem odstřihla sítě, které dohromady kompromitovaly více než tři miliony zařízení napříč celým světem.
Botnet Aisuru byl nejsilnějším z nich a zároveň nejmladším – vznikl na konci roku 2024 a v prosinci 2025 nastavil nový světový rekord v DDoS útocích, kdy útok dosáhl špičkové propustnosti 31,4 Tbps a 200 milionů požadavků za vteřinu. Primárním cílem byl telekomunikační sektor. Operátoři Aisuru vydali více než 200 000 DDoS příkazů; botnet KimWolf – přímá varianta Aisuru vzniklá v říjnu 2025 – vydal přes 25 000 příkazů; JackSkid spustil více než 90 000 útoků a Mossad přes 1 000. KimWolf navíc zavedl nový mechanismus šíření umožňující kompromitaci zařízení skrytých v interních podnikových sítích, čímž se infikovaná zařízení stala vstupní branou do jinak oddělené infrastruktury.
Zlikvidovaná infrastruktura fungovala na principu „cybercrime-as-a-service" – přístup ke kompromitovaným zařízením byl prodáván dalším zájemcům jako komerční služba, přičemž koncoví zákazníci nemuseli mít žádné technické znalosti. Tím se okruh potenciálních útočníků dramaticky rozšiřuje za tradičně technicky zdatné skupiny.
Kompromitovaná zařízení zahrnují zejména Android zařízení, chytré televize a set-top boxy, webové kamery, digitální videorekordéry a Wi-Fi routery. Šíření probíhalo zneužitím nezáplatovaných zranitelností v IoT zařízeních – produktech, které uživatelé ani správci sítí zpravidla neaktualizují tak pečlivě jako tradiční počítačové systémy. Mnohá ze tří milionů kompromitovaných zařízení jsou přitom umístěna v domácnostech, malých firmách a veřejných institucích, jejichž provozovatelé nemají ponětí o tom, že se jejich zařízení účastní kybernetických útoků.
Operaci podpořila řada soukromých firem, jejichž rozsah naznačuje systémovou spolupráci technologického sektoru s orgány činnými v trestním řízení: Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Team Cymru a QiAnXin XLab. Tato spolupráce umožnila sledovat tok provozu a identifikovat řídicí servery, které jinak operovaly prostřednictvím anonymizačních vrstev.
Z pohledu správců kritické infrastruktury a firemních bezpečnostních týmů je demontáž těchto botnetů signálem, nikoli řešením. Zranitelná IoT zařízení a kompromitovaná zařízení, která se dosud nepodařilo identifikovat, mohou být kdykoli převzata novou řídicí infrastrukturou. Schopnost botnetů šířit se do interních sítí přes zdánlivě nevýznamná zařízení – set-top boxy nebo chytré televize – ukazuje, že perimetr síťové bezpečnosti již de facto zahrnuje každé zařízení s IP adresou, bez ohledu na jeho primární funkci.
Pravidelné bezpečnostní audity IoT prostředí, segmentace sítě oddělující IoT zařízení od produkční infrastruktury a důsledná politika aktualizací firmwaru jsou přitom opatření, která organizace odkládají právě proto, že dopad kompromitace konkrétního smart TV není na první pohled zřejmý. Tato akce ukazuje, že kolektivní dopad milionů takových zařízení může paralyzovat i páteřní infrastrukturu telekomunikačního sektoru.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 13b
Výroční zpráva ÚOOÚ za rok 2025: Rekordní nárůst stížností a varování před kapacitními limity
