Из «червя-бури» в «бабочку»: почему у ботнетов такие странные названия

Волк, который обогнал Google

В декабре 2025 года неизвестный домен с адресом 14emeliaterracewestroxburyma02132.su за несколько дней обогнал Google в рейтинге Cloudflare Radar по наблюдаемой активности. Это был управляющий сервер ботнета (ботнет — это сеть устройств, зараженных вредоносным программным обеспечением, которая позволяет хакеру управлять этими устройствами удаленно) Kimwolf — сети из 1,8 млн взломанных Android-устройств, способной теоретически генерировать атаки мощностью до 30 терабит в секунду.

События развивались стремительно: 19 ноября домен занял второе место в рейтинге Cloudflare по активности. Через неделю он стал первым, опередив даже Google. Специалисты китайской лаборатории QiAnXin XLab, которые получили первый образец вредоносной программы еще 24 октября, назвали его Kimwolf.

В коде использовалась библиотека wolfSSL (отсюда «волк»), а в логах встречалось имя «Kim». Возможно, это имя разработчика, а может — просто название переменной. Так или иначе родился Kimwolf.

За три дня работы ботнет, по оценке исследователей, отправил 1,7 млрд команд на атаки. На пике активности он контролировал почти 2 млн зараженных устройств — в основном умные телевизоры и ТВ-приставки в Бразилии, Индии, США, Аргентине, ЮАР и на Филиппинах.

Позже выяснилось, что Kimwolf связан с другим мощным ботнетом — Aisuru. В переводе с японского это означает «любить» или «дорожить». Странный выбор для киберпреступников, но история ботнетов полна контрастов: поэтичные имена для разрушительных инструментов — это обычное дело.

Оба ботнета использовали одинаковые сертификаты для подписи приложений. Один из них был оформлен на имя John Dinglebert Dinglenut VIII VanSack Smith — явно вымышленное: слов Dinglebert и Dinglenut не существуют в английском языке, а нагромождение титулов и фамилий выглядит как пародия. Похоже на издевку хакеров над системой безопасности, которая принимает любые данные без проверки.

К январю 2026 года команда Black Lotus Labs сообщила о нейтрализации более 550 управляющих серверов Kimwolf и Aisuru. Но борьба продолжается: ботнеты быстро адаптируются, используя технологии, вроде блокчейн-доменов, для защиты от отключения.

Cherpaker с народным именем

В январе 2026 года специалисты нашей компании обнаружили крупный ботнет, который специализировался на краже контента. Он атаковал новостные сайты и интернет-магазины, копируя статьи, информацию о товарах и ценах. Объем — более миллиона запросов в сутки.

Такой тип атак называется парсингом: боты автоматически собирают данные с сайтов. Для СМИ это означает кражу контента, для магазинов — сбор данных, который могут использовать конкуренты. Название ботнета — это первое, что видят исследователи и СМИ. Оно становится брендом угрозы. Иногда создатели сознательно вкладывают в него смысл, но чаще имя появляется позже — его дают аналитики, антивирусные лаборатории или те, кто первым обнаружил угрозу.

Servicepipe обычно использует внутренние рабочие названия для обозначения ботнетов, но на этот раз компания решила провести эксперимент. Вместо привычного подхода, когда имя дает создатель или аналитик, запустила голосование в Telegram-канале. Подписчикам предложили выбрать название из нескольких вариантов или предложить свое. С большим отрывом победил Cherpaker — ироничная версия слова «парсер» с разговорным оттенком. Название точно передает суть: ботнет черпает, выкачивает данные. При этом звучит более интригующе, чем технические обозначения.

Storm Worm: когда название — это приманка

В 2007 году появился ботнет Storm Worm — «Червь-буря». Название возникло не случайно: первые фишинговые письма приходили с заголовками о погодных катастрофах. «230 человек погибли из-за шторма в Европе» — такие темы заставляли людей кликать по ссылке из любопытства.

Позже темы менялись в зависимости от информационной повестки: гибель Фиделя Кастро, воскрешение Саддама Хусейна, крупные теракты — все, что вызывало эмоции и желание узнать подробности.

На пике активности в июле 2007 года Storm генерировал, по оценкам исследователей, до 20% всего спама в интернете, используя 1,4 млн зараженных компьютеров. Это был один из первых крупных ботнетов с децентрализованной архитектурой — без единого центра управления его было сложнее обнаружить и отключить. Название идеально описывало стратегию: ботнет действительно накрывал интернет как буря, используя актуальные новостные темы для распространения.

Mariposa: 12 млн жертв ботнета с романтическим именем

В 2009 году мир столкнулся с ботнетом Mariposa — «бабочка» по-испански, которым были заражены 12 млн компьютеров по всему миру. Создатели изначально назвали программу Butterfly Bot — «бот-бабочка». Когда ее обнаружили антивирусные компании, они перевели название на испанский — Mariposa.

Авторы — группа DDP Team («Команда кошмарных дней»). Интересно, что сами они не писали код: просто купили готовое решение за несколько сотен долларов у другого хакера и превратили небольшой проект в глобальную сеть. Своего рода франшиза в мире киберпреступлений. Бот умел красть пароли из браузеров, устанавливать другое вредоносное ПО, создавать прокси-серверы для сокрытия следов хакеров. Жертвами стали банки, правительственные организации, компании более чем из 190 стран.

«Бабочка» — легкое, хрупкое, красивое создание. Контраст с разрушительными возможностями программы делает название запоминающимся. Это как назвать танк «ромашкой».

Mirai: будущее, которое создали студенты

Осенью 2016 года ботнет Mirai провел атаку мощностью 1,2 терабита в секунду на сайт журналиста Брайана Кребса, который расследовал деятельность хакерских группировок. В основе ботнета — 145 000 умных устройств: камеры наблюдения, роутеры, видеорегистраторы. Это был первый крупный ботнет, построенный именно на таких гаджетах, а не на компьютерах или смартфонах.

Авторами оказались три студента из США. Один из них, Парас Джа, начинал с атак на собственный университет Ратгерса. Он хотел сорвать онлайн-регистрацию на популярные курсы, чтобы первым записаться на места.

С ноября 2014 года он провел серию DDoS-атак на университет. Одна из них в марте 2015-го парализовала жизнь кампуса на четыре дня: 50 000 студентов и сотрудников остались без доступа к компьютерным системам. 29 апреля он опубликовал в интернете язвительный комментарий: «Отдел IT Ратгерского университета — настоящее посмешище».

Когда полиция начала расследование, создатели Mirai выложили исходный код ботнета в открытый доступ. Логика была проста: раз код доступен всем, невозможно доказать авторство. Не помогло — всех троих нашли и осудили.

Mirai по-японски означает «будущее». По словам создателя, название отсылает к аниме-сериалу Mirai Nikki («Дневник будущего»). Выбор оказался пророческим: ботнет открыл эру масштабных атак через умные устройства — роутеры, камеры, ТВ-приставки. То, что начиналось как студенческая авантюра, изменило всю индустрию кибербезопасности. Именно после Mirai производители начали массово усиливать защиту IoT-устройств.

От спама к терабитам

Первым масштабным ботнетом считается EarthLink Spammer 2000 года. Хакер Хан Смит создавал около 12% почтового трафика провайдера EarthLink, рассылая спам через зараженные компьютеры. Жертвы кликали на обещания бесплатных товаров, отдавали личную информацию и становились частью ботнета, распространяя спам дальше.

Название было функциональным: EarthLink Spammer, то есть программа, которая рассылает спам через сеть провайдера EarthLink. Никакой поэзии, только описание того, что делает программа. В те времена ботнеты были проще, их возможности — скромнее, а названия — прямолинейнее.

С тех пор ботнеты выросли на порядки. В 2000-х они насчитывали сотни устройств, сейчас — сотни тысяч и миллионы. Одна из мощнейших зафиксированных атак 2022 года достигала 2,5 терабит в секунду. По данным Mordor Intelligence, к 2029 году рынок защиты от DDoS-атак достигнет $8 млрд, ежегодно вырастая в среднем на 14%.

Названия ботнетов эволюционировали вместе с технологиями. За каждым именем — отражение своего времени. EarthLink Spammer рассказывает о раннем интернете и спам-войнах. Storm — о том, как хакеры начали использовать медийные темы для распространения вирусов. Mariposa — о контрасте между романтическими образами и разрушительными технологиями. Mirai — о наступлении эры умных устройств. А Kimwolf и Aisuru показывают, что ботнеты теперь способны соперничать с крупнейшими интернет-компаниями.

Угрозы никуда не делись. А значит, скоро появятся новые имена. И за каждым будет своя история.

Мнение редакции может не совпадать с точкой зрения автора