Ботнет Kimwolf парализовал анонимную сеть I2P масштабной Sybil-атакой

Ботнет Kimwolf парализовал анонимную сеть I2P

На протяжении последней недели ботнет Kimwolf — крупная угроза на базе IoT, впервые обнаруженная в конце 2025 года, — серьёзно нарушил работу The Invisible Internet Project (I2P), децентрализованной зашифрованной сети, предназначенной для анонимной коммуникации. Сбои совпали с попытками операторов ботнета использовать I2P в качестве резервной инфраструктуры command-and-control (C2), чтобы избежать блокировок.

Технические детали атаки

Kimwolf, заразивший миллионы слабо защищённых IoT-устройств (включая стриминговые приставки, цифровые фоторамки и роутеры), использовал I2P для повышения устойчивости к блокировкам. 3 февраля пользователи I2P сообщили о резком наплыве десятков тысяч новых роутеров, что привело к массовым сбоям в подключении.

Атака следовала шаблону Sybil-атаки, при которой одна сущность (в данном случае операторы Kimwolf) заполняет одноранговую сеть псевдонимами, чтобы ухудшить её производительность. По словам Лэнса Джеймса, основателя кибербезопасной компании Unit 221B и одного из первых участников I2P, сеть обычно состоит из 15 000–20 000 активных устройств — гораздо меньше, чем 700 000 заражённых узлов Kimwolf, пытавшихся подключиться.

Операторы ботнета открыто обсуждали свои действия в Discord-канале, признавая, что непреднамеренно нарушили работу I2P во время тестирования сети в качестве резервной C2-инфраструктуры. Бенджамин Брандаж, основатель Synthient (стартапа по отслеживанию прокси), отметил, что Kimwolf также экспериментировал с Tor для аналогичных целей, хотя серьёзных сбоев в работе Tor не зафиксировано.

Последствия для I2P и проблемы кибербезопасности

Атака снизила производительность I2P примерно на 50%, пользователи сообщали о зависаниях при превышении 60 000 одновременных подключений. Хотя основная функция ботнета — DDoS-атаки, его недавний переход на анонимные сети, такие как I2P и Tor, демонстрирует растущую тенденцию: операторы ботнетов ищут устойчивые C2-каналы, чтобы избежать блокировок.

Ранее Kimwolf уже создавал проблемы для Cloudflare, перегружая его DNS-инфраструктуру и временно выводя вредоносные домены в топ трафика выше таких платформ, как Amazon, Apple, Google и Microsoft.

Текущий статус и меры по смягчению последствий

Разработчики I2P готовят обновление стабильности, чтобы восстановить нормальную работу в течение недели. Тем временем Брандаж сообщил, что число заражённых устройств Kimwolf сократилось более чем на 600 000 из-за внутренних проблем управления, что указывает на возможную некомпетентность операторов ботнета.

"Они проводят эксперименты в продакшене", — сказал Брандаж. — "Ботнет сокращается, и они, похоже, не знают, что делают."

Для специалистов по безопасности этот инцидент подчёркивает риски использования IoT-ботнетами анонимных сетей для повышения устойчивости. Мониторинг необычного трафика I2P/Tor и Sybil-атаки поможет вовремя обнаружить подобные угрозы.