Jedna brazilska kompanija specijalizovana za zaštitu mreža od DDoS napada postala je središte skandala nakon što je otkriveno da je omogućila botnet koji je sproveo niz masivnih DDoS napada na druge provajdere u Brazilu. Izvršni direktor kompanije tvrdi da su ovi napadi rezultat bezbednosnog proboja i da je najverovatnije reč o konkurenciji koja želi da našteti ugledu njegove firme.
Tokom proteklih nekoliko godina, stručnjaci za bezbednost pratili su seriju masivnih DDoS napada koji su potekli iz Brazila i isključivo ciljali brazilske provajdere interneta. U početku nije bilo jasno ko ili šta stoji iza ovih digitalnih napada, sve dok nije otkrivena sumnjiva arhiva fajlova koja je postavljena na otvorenom direktorijumu na internetu.
Ova arhiva sadržala je nekoliko malicioznih programa na portugalskom jeziku, zajedno sa privatnim SSH autentifikacionim ključevima koji pripadaju izvršnom direktoru kompanije Huge Networks, provajderu interneta koji se pretežno bavi zaštitom od DDoS napada.
Huge Networks je osnovan 2014. godine u Majamiju, a njegovo poslovanje je fokusirano na Brazil, gde je izgrađeno na zaštiti servera za igre od DDoS napada. Kompanija nije zabeležena u javnim prijavama o zloupotrebama i nije povezana sa poznatim uslugama DDoS napada na zahtev.
Ipak, otkriveni fajlovi pokazuju da je pretnja iz Brazila imala pristup infrastrukturi Huge Networks i izgradila snažan DDoS botnet redovno skenirajući internet za nezaštićene internet rutere i neuredne DNS servere.
DNS serveri omogućavaju korisnicima interneta da dođu do veb sajtova tako što kucaju poznate domene umesto povezanih IP adresa. Idealno, DNS serveri bi trebali da odgovaraju samo mašinama unutar sigurnog domena. Međutim, napadi poznati kao „DNS refleksija“ oslanjaju se na DNS servere koji su pogrešno konfigurisani da prihvataju upite sa bilo kog mesta na internetu.
Korišćenjem ekstenzije DNS protokola koja omogućava velike DNS poruke, napadači mogu drastično povećati veličinu i uticaj refleksionih napada, kreirajući DNS upite tako da su odgovori mnogo veći od zahteva. Na primer, napadač može da sastavi DNS zahtev manji od 100 bajtova, što može rezultirati odgovorom koji je 60-70 puta veći.
Otkrivena arhiva uključuje istoriju komandne linije koja pokazuje kako je napadač izgradio i održavao snažan botnet pretražujući internet za TP-Link Archer AX21 rutere. Ovaj botnet posebno cilja uređaje koji su ranjivi na CVE-2023-1389, ranjivost koja je ispravljena u aprilu 2023.
Maliciozni domeni u otkrivenim Python skriptama uključivali su DNS pretrage za hikylover[.]st i c.loyaltyservices[.]lol, koji su označeni kao kontrolni serveri za IoT botnet pokrenut varijantom Mirai malvera.
U razgovoru o otkrivenim fajlovima, Erick Nascimento, izvršni direktor Huge Networks, izjavio je da nije pisao napadačke programe i da nije bio svestan obima DDoS kampanja dok nije bio kontaktiran od strane istraživača. „Obaveštavali smo mnoge provajdere o velikim DDoS napadima protiv manjih ISP-a“, rekao je Nascimento.
Nakon što je otkriven proboj, Huge Networks je angažovao firmu za forenziku mreže kako bi istražila incident, a Nascimento je potvrdio da su obrisali ugrožene servere i promenili ključeve. Kompanija sada pokušava da razjasni kako je došlo do ovog proboja i ko je odgovoran.
Ova situacija ponovo pokreće pitanja o bezbednosti mreža i zaštiti od DDoS napada, posebno u svetlu sve većih pretnji koje se javljaju u digitalnom svetu.
