Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un'azienda di sicurezza brasiliana è stata collegata a una botnet che ha condotto attacchi DDoS contro provider di servizi internet locali. L'azienda nega qualsiasi coinvolgimento
Un’azienda brasiliana di sicurezza si è ritrovata al centro di una vicenda ironica: una società che vende protezione DDoS è stata a sua volta collegata all’infrastruttura di una botnet che prendeva di mira i provider di servizi internet locali. L’amministratore delegato di Huge Networks nega qualsiasi coinvolgimento negli attacchi e afferma che l’azienda è stata incastrata in seguito a un attacco informatico, ma gli esperti sono sempre più scettici al riguardo.
Secondo KrebsOnSecurity, da diversi anni gli specialisti stanno monitorando importanti attacchi DDoS provenienti dal Brasile e diretti esclusivamente contro gli operatori di telecomunicazioni brasiliani. Nuovi dettagli sono emersi dopo che una fonte anonima ha condiviso un archivio trovato in una directory online pubblica.
L’archivio conteneva script Python dannosi con commenti in portoghese, cronologia dei comandi e chiavi SSH private appartenenti a Eric Nascimento, CEO di Huge Networks. Huge Networks è stata fondata a Miami nel 2014, ma opera principalmente sul mercato brasiliano. L’azienda ha iniziato proteggendo i server di gioco e in seguito si è espansa offrendo protezione DDoS agli ISP.
Il contenuto dell’archivio mostra che un utente malintenzionato con accesso root all’infrastruttura di Huge Networks ha creato una botnet tramite una scansione di massa di Internet. Gli script cercavano router TP-Link Archer AX21 vulnerabili, che presentavano la falla CVE-2023-1389. Il produttore ha corretto la vulnerabilità nell’aprile del 2023, ma a quanto pare alcuni dispositivi non hanno mai ricevuto l’aggiornamento.
La botnet utilizzava anche server DNS aperti per attacchi di amplificazione e riflessione DNS. In questo schema, una richiesta viene falsificata in modo da sembrare proveniente dalla vittima e la risposta da più server DNS viene inviata direttamente all’indirizzo della vittima. A causa delle grandi quantità di risposte DNS, il carico sul bersaglio aumenta drasticamente.
I domini malevoli utilizzati negli script erano stati precedentemente collegati alla botnet IoT basata su Mirai. I comandi venivano lanciati tramite un server di Digital Ocean, segnalato centinaia di volte in report di abuso nell’ultimo anno. Gli script includevano anche indirizzi IP di Huge Networks, utilizzati per selezionare i bersagli e lanciare gli attacchi. Le campagne prendevano di mira solo intervalli di indirizzi IP brasiliani e ogni prefisso veniva attaccato per un periodo compreso tra 10 e 60 secondi in più thread paralleli.
Eric Nascimento ha dichiarato a KrebsOnSecurity di non aver scritto il malware e di non essere a conoscenza della portata della campagna fino a quando non è stato contattato dai giornalisti. Ritiene che la pista riconduca a un incidente avvenuto nel gennaio 2026, quando due server di sviluppo e le relative chiavi SSH personali furono compromessi. In seguito a un avviso di Digital Ocean, l’azienda, secondo quanto affermato da un suo dirigente, ha ripulito i propri sistemi e sostituito le chiavi.
Se Huge Networks fosse effettivamente coinvolta nella campagna, gli attacchi potrebbero essere stati utilizzati non solo per interrompere direttamente i servizi dei fornitori concorrenti, ma anche per minare la fiducia nelle loro reti. Uno scenario del genere potrebbe teoricamente aumentare l’interesse del mercato per i servizi di protezione DDoS, ma i dati pubblicati non lo confermano direttamente.
Nascimento, dal canto suo, sostiene il contrario: che dietro l’attacco potrebbe esserci un concorrente intenzionato a danneggiare la reputazione di Huge Networks. Si è rifiutato di rivelare l’identità del presunto concorrente, affermando di voler utilizzare le prove raccolte in un secondo momento. Huge Networks ha inoltre incaricato una società esterna di effettuare analisi forensi di rete.
