Azienda anti-DDoS brasiliana accusata di aver lanciato attacchi contro ISP locali

Un'azienda tecnologica brasiliana, specializzata nella difesa da attacchi distributed denial-of-service (DDoS), sarebbe stata coinvolta nella gestione di una botnet responsabile di una massiccia campagna di attacchi informatici contro altri operatori di rete in Brasile. Lo rivela un'inchiesta di KrebsOnSecurity, basata su documenti e prove raccolte da fonti anonime.

Secondo il CEO dell'azienda, l'attività malevola sarebbe derivata da una violazione della sicurezza e potrebbe rappresentare un tentativo di un competitor di danneggiare la reputazione dell'azienda.

La scoperta della botnet

Negli ultimi anni, esperti di sicurezza hanno monitorato una serie di attacchi DDoS di grandi dimensioni provenienti dal Brasile e diretti esclusivamente verso ISP locali. Solo recentemente è stato possibile identificare la fonte di questi attacchi: un archivio online esposto contenente file in portoghese, tra cui programmi malevoli scritti in Python e le chiavi private SSH del CEO di Huge Networks, un ISP brasiliano specializzato nella protezione DDoS per altri operatori di rete.

Fondata a Miami nel 2014, Huge Networks opera principalmente in Brasile, dove offre servizi di mitigazione degli attacchi DDoS, inizialmente sviluppati per proteggere server di gioco online. Nonostante non risulti coinvolta in segnalazioni pubbliche di abuso o associata a servizi di DDoS-for-hire, l'archivio esposto dimostra che un attore minaccioso basato in Brasile ha ottenuto accesso root all'infrastruttura dell'azienda, costruendo una potente botnet.

Come funziona la botnet

La botnet identificata scansionava costantemente Internet alla ricerca di router vulnerabili, in particolare modelli TP-Link Archer AX21 affetti dalla vulnerabilità CVE-2023-1389. Questi dispositivi venivano reclutati per amplificare gli attacchi tramite una tecnica nota come DNS reflection.

Gli attacchi si basano su server DNS mal configurati, che accettano query da qualsiasi indirizzo IP. Gli attaccanti inviano richieste DNS contraffatte, facendo sembrare che provengano dalla rete della vittima. Quando i server DNS rispondono, le risposte vengono indirizzate verso l'obiettivo, amplificando notevolmente il traffico. Grazie a un'estensione del protocollo DNS che consente messaggi di grandi dimensioni, gli attaccanti possono moltiplicare l'impatto degli attacchi: una richiesta di meno di 100 byte può generare una risposta fino a 60-70 volte più grande.

La botnet, composta da decine di migliaia di dispositivi compromessi, ha sfruttato questa tecnica per lanciare attacchi su larga scala contro ISP brasiliani, causando interruzioni di servizio e danni economici.

Le dichiarazioni dell'azienda

In una dichiarazione rilasciata a KrebsOnSecurity, il CEO di Huge Networks ha negato ogni responsabilità, attribuendo l'attività malevola a un attacco esterno. Secondo la sua versione, si tratterebbe di un tentativo di un competitor di sabotare l'azienda e danneggiarne la reputazione.

Al momento, non sono state fornite ulteriori prove a sostegno di questa ipotesi, ma le indagini continuano per fare chiarezza sulla vicenda e identificare i responsabili.