サイバーセキュリティ DDoS攻撃 ボットネット ブラジル Huge Networks

ブラジルのDDoS防護企業がISPへの攻撃を支援か

ブラジルのネットワーク防護専門企業「Huge Networks」が、他のISPを標的とした大規模なDDoS攻撃を支援していた疑いが浮上した。セキュリティ専門家の調査により、同社のCEOの認証キーを含む機密ファイルが公開され、攻撃の実態が明らかになった。

攻撃の背景と経緯

過去数年にわたり、ブラジル国内のISPを標的とした大規模なDDoS攻撃が相次いでいた。当初は攻撃元が特定できなかったが、先月、信頼できる情報提供者から「公開ディレクトリに露出したファイル群」が提供された。その中には、ポルトガル語で記述されたPython製のマルウェアと、Huge NetworksのCEOのSSH認証キーが含まれていた。

Huge Networksは2014年に米フロリダ州で設立されたISPで、主にブラジル国内のネットワーク事業者向けにDDoS防護サービスを提供している。当初はゲームサーバー向けのDDoS対策から始まり、現在ではISP向けのソリューションに拡大している。

ボットネットの構築と攻撃手法

公開されたファイル群から、ブラジル在住の脅威アクターがHuge Networksのインフラに対して長期間にわたりrootアクセスを維持していたことが判明した。同アクターは、インターネット上で脆弱なルーターやDNSサーバーをスキャンし、それらを悪用して大規模なDDoSボットネットを構築していた。

特に悪用されたのが、TP-LinkのArcher AX21ルーターで、CVE-2023-1389と呼ばれる脆弱性を突かれていた。この脆弱性を悪用することで、攻撃者はルーターを乗っ取り、ボットネットの一部として利用していた。

DNSリフレクション攻撃のメカニズム

攻撃では、DNSリフレクションと呼ばれる手法が用いられていた。これは、DNSサーバーが世界中からの問い合わせに応答するよう設定されている場合、攻撃者が標的のIPアドレスを偽装したDNSクエリを送信することで、大量の応答トラフィックを標的に送りつける手法だ。

さらに、DNSプロトコルの拡張機能を悪用することで、攻撃の規模を大幅に拡大していた。例えば、わずか100バイトのDNSリクエストが、60~70倍のサイズのレスポンスを引き起こすことが可能だ。この増幅効果により、数万台のボットネット端末から同時に攻撃を仕掛けることで、標的のネットワークを麻痺させるほどの大規模攻撃が可能となる。

「この攻撃は、競合他社による我が社の評判を傷つけるための工作だった可能性が高い」
Huge Networks CEOの声明

セキュリティ専門家の見解

セキュリティ専門家らは、公開されたファイル群がHuge Networksの関与を示す決定的な証拠だと指摘する。同社は公的な不正行為の苦情リストには掲載されておらず、DDoS-for-hireサービスとも関連はないものの、インフラの脆弱性が攻撃の温床となった可能性が高い。

今後、ブラジルのサイバーセキュリティ当局が詳細な調査に乗り出す見通しで、関係者への影響が注目される。

出典: Krebs on Security
不滅の戦士たちの格闘ゲーム「インビンシブルVS」はなぜ物足りなかったのか
← 前へ

不滅の戦士たちの格闘ゲーム「インビンシブルVS」はなぜ物足りなかったのか

 トランプ氏、再びABCのジミー・キンメル解雇要求「早くしろ!」
次へ →

トランプ氏、再びABCのジミー・キンメル解雇要求「早くしろ!」