cybersikkerhed botnet cyberkriminalitet DDoS-angreb Brasilien internetudbydere CVE-2023-1389 DNS-forstærkning

En brasiliansk teknologivirksomhed, der udbyder beskyttelse mod distributed denial-of-service (DDoS)-angreb, er blevet afsløret i at styre et botnet, som har udført omfattende DDoS-angreb mod andre internetudbydere i Brasilien. Ifølge KrebsOnSecurity var angrebene resultatet af et sikkerhedsbrud, men virksomhedens CEO mener, at det sandsynligvis var en konkurrent, der forsøgte at skade firmaets omdømme.

Et skjult botnet med store konsekvenser

I flere år har cybersikkerhedseksperter sporet en række massive DDoS-angreb, der udelukkende har rettet sig mod brasilianske internetudbydere. Først for nylig blev det imidlertid klart, hvem der stod bag disse angreb. En anonym kilde delte en fil, der var blevet eksponeret i en åben mappe online. Filen indeholdt flere skadelige Python-programmer skrevet på portugisisk samt private SSH-autentifikationsnøgler tilhørende CEO'en for Huge Networks, en brasiliansk internetudbyder, der primært tilbyder DDoS-beskyttelse til andre lokale netværksoperatører.

Huge Networks blev grundlagt i Miami i 2014, men har siden udviklet sig til en central aktør inden for DDoS-beskyttelse i Brasilien. Virksomheden startede med at beskytte spilservere mod DDoS-angreb, men har senere udvidet til at servicere internetudbydere. Selvom Huge Networks ikke er kendt for at være involveret i offentlige klager over misbrug, viser de eksponerede filer, at en trusselsaktør med base i Brasilien havde vedvarende adgang til virksomhedens infrastruktur.

Sådan blev botnetet bygget

Den eksponerede fil indeholder også en kommandohistorik, der viser, hvordan angriberen systematisk opbyggede et kraftfuldt botnet ved at scanne internettet efter sårbare routere. Specifikt rettede botnetet sig mod TP-Link Archer AX21-routere, der var sårbare over for sårbarheden CVE-2023-1389. Ved at udnytte denne sårbarhed kunne angriberen overtage tusindvis af enheder og anvende dem i DDoS-angreb.

DNS-forstærkning: En effektiv angrebsteknik

Angriberne udnyttede desuden DNS-forstærkning til at forstærke angrebene. Ved at sende spoofede DNS-forespørgsler til misconfigurerede DNS-servere kunne de generere enorme svarpakker, der blev rettet mod offerets IP-adresse. En enkelt forespørgsel på under 100 bytes kunne således resultere i en respons på op til 6.000-7.000 bytes – en forstærkningseffekt på op til 70 gange. Når tusindvis af kompromitterede enheder samtidig sender disse spoofede forespørgsler, kan angrebet blive ekstremt ødelæggende.

"Disse angreb er ikke blot teknisk avancerede, men også organiserede. Det tyder på, at en aktør med betydelige ressourcer står bag," siger en anonym cybersikkerhedsekspert til KrebsOnSecurity.

Huge Networks' forsvarslinje

Huge Networks' CEO har afvist enhver forbindelse til angrebene og hævder, at sikkerhedsbruddet sandsynligvis var et forsøg på at ramme virksomhedens omdømme. Ifølge ham var angrebene ikke en del af en bevidst strategi, men snarere resultatet af en konkurrerendes forsøg på at underminere virksomheden.

Cybersikkerhedseksperter understreger imidlertid, at uanset intentionen, så viser sagen, hvor sårbare kritisk internetinfrastruktur kan være over for cyberkriminalitet. Virksomheder, der beskytter mod DDoS-angreb, bør derfor være ekstra opmærksomme på interne sikkerhedsprocedurer for at forhindre lignende hændelser.

Kilde: Krebs on Security
Invincible VS anmelde: En skuffende indsats i superhelteuniverset
← Forrige

Invincible VS anmelde: En skuffende indsats i superhelteuniverset

 Trump kræver igen, at Jimmy Kimmel bliver fyret: 'Det kan ikke vente'
Næste →

Trump kræver igen, at Jimmy Kimmel bliver fyret: 'Det kan ikke vente'