Brasilianischer DDoS-Schutzanbieter soll eigene Angriffe ermöglicht haben

Ein brasilianisches Technologieunternehmen, das sich auf den Schutz vor verteilten Denial-of-Service-Angriffen (DDoS) spezialisiert hat, soll laut einem Bericht von KrebsOnSecurity selbst eine Botnet-Infrastruktur betrieben haben. Diese wurde genutzt, um großangelegte DDoS-Angriffe gegen andere brasilianische Internetdienstanbieter (ISPs) durchzuführen.

Der CEO des betroffenen Unternehmens, Huge Networks, führt die Vorfälle auf einen Sicherheitsvorfall zurück. Demnach handle es sich um die gezielte Sabotage durch einen Mitbewerber, um den Ruf des Unternehmens zu schädigen.

Offengelegte Daten enthüllen Botnet-Betrieb

Seit mehreren Jahren beobachten Sicherheitsexperten eine Serie massiver DDoS-Angriffe, die ausschließlich brasilianische ISPs trafen. Bislang blieb unklar, wer hinter diesen Angriffen steckte. Ein vertraulicher Informant, der anonym bleiben wollte, übermittelte kürzlich eine Datei, die in einem öffentlich zugänglichen Online-Verzeichnis lag. Diese enthielt mehrere auf Portugiesisch verfasste, bösartige Python-Programme sowie die privaten SSH-Authentifizierungsschlüssel des CEOs von Huge Networks.

Huge Networks, 2014 in Miami gegründet, hat seinen Hauptsitz in Brasilien. Ursprünglich als Schutz für Game-Server gegen DDoS-Angriffe gestartet, entwickelte sich das Unternehmen zu einem Anbieter von DDoS-Schutzlösungen für ISPs. Obwohl das Unternehmen in keiner öffentlichen Beschwerde oder bekannten DDoS-for-Hire-Diensten auftaucht, zeigen die offengelegten Daten, dass ein brasilianischer Akteur jahrelang Root-Zugriff auf die Infrastruktur von Huge Networks hatte.

Botnet auf Basis unsicherer Router aufgebaut

Die Analyse der Dateien enthüllt, dass der Angreifer ein mächtiges Botnet aufbaute, indem er das Internet nach unsicheren Routern und ungeschützten DNS-Servern durchsuchte. Besonders im Fokus standen TP-Link Archer AX21-Router, die von einer bekannten Schwachstelle (CVE-2023-1389) betroffen sind. Diese Lücke ermöglicht es Angreifern, die Kontrolle über die Geräte zu übernehmen und sie in ein Botnet zu integrieren.

Die Angriffe nutzten dabei eine Technik namens DNS-Reflection und -Amplification. Dabei werden DNS-Server, die nicht korrekt konfiguriert sind, missbraucht, um Antworten an die Opferadresse zu senden. Durch eine Protokollerweiterung können die Antworten bis zu 70-mal größer sein als die ursprünglichen Anfragen. Kombiniert mit tausenden kompromittierten Geräten führt dies zu extrem leistungsstarken Angriffen, die Netzwerke lahmlegen können.

Sicherheitslücken und Gegenmaßnahmen

Experten warnen seit Langem vor der Gefahr ungeschützter DNS-Server und veralteter Router. Betreiber sollten sicherstellen, dass ihre Systeme regelmäßig aktualisiert und korrekt konfiguriert sind. Zudem empfiehlt es sich, den Zugriff auf DNS-Server auf vertrauenswürdige Quellen zu beschränken, um Reflection-Angriffe zu verhindern.

Huge Networks hat bisher keine offizielle Stellungnahme zu den Vorwürfen veröffentlicht. Sollten sich die Anschuldigungen bestätigen, könnte dies weitreichende Folgen für die Glaubwürdigkeit des Unternehmens und die Sicherheit brasilianischer Netzwerke haben.