Data Breaches

Фирма-защитник от DDoS оказалась под подозрением в организац

Мир кибербезопасности обожает истории о героической защите. Но что, если защитник окажется нападающим? Бразильская фирма Huge Networks, специализирующаяся на защите от DDoS, оказалась в центре скандала, связанного с созданием ботнетов и масштабными распределёнными атаками типа «отказ в обслуживании».

Threat Digest 6 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
Фирма-защитник от DDoS оказалась под подозрением в организации атак — Threat Digest

Key Takeaways

  • Бразильская анти-DDoS фирма Huge Networks обвиняется в организации масштабных DDoS-атак на бразильских ISP.
  • Утечка архива содержала приватные SSH-ключи CEO и свидетельства создания инфраструктуры ботнета с использованием ресурсов компании.
  • В атаках использовались уязвимые роутеры TP-Link и техника DNS Reflection для усиления.

Все ожидали, что за упорными и масштабными DDoS-атаками в Бразилии стоит некая теневая иностранная сила. Цифровой призрак, сеющий хаос издалека. Такова привычная нам схема: внешний враг, хакер в тёмной комнате. Но это последнее разоблачение? Оно полностью переворачивает эту историю. Атаки, нацеленные непосредственно на бразильских интернет-провайдеров (ISP), теперь связывают с компанией, которая утверждает, что она их щит: Huge Networks.

Это не просто очередная утечка данных. Это инверсия архитектуры. Компания, чья репутация построена на надёжной сетевой защите, по данным глубокого расследования KrebsOnSecurity, якобы создала инфраструктуру для тех самых нападений, от которых она призвана спасать. Последствия для доверия и фундаментальных предпосылок в сфере услуг кибербезопасности — колоссальны.

Вот в чём дело: годами специалисты по безопасности отслеживали эти гигантские DDoS-кампании, исходящие изнутри Бразилии и направленные исключительно против бразильских ISP. Преступник оставался неуловимым, призраком в системе. Затем в открытом директории появился защищённый файловый архив, начавший шептать секреты. Внутри? Не только ожидаемые Python-скрипты для атак, но и приватные SSH-ключи генерального директора Huge Networks. Да, той самой Huge Networks.

Основанная в Майами, но оперирующая преимущественно в Бразилии, Huge Networks сначала заняла свою нишу в защите игровых серверов, а затем переключилась на противодействие DDoS для ISP. Они казались чистыми, не попадали в публичные жалобы и не были связаны с какими-либо известными незаконными сервисами. Корпоративный имидж, тщательно поддерживаемый.

Но раскрытые данные рассказывают другую историю. Они указывают на действующего злоумышленника, базирующегося в Бразилии, который имел root-доступ к инфраструктуре Huge Networks. Речь идёт не просто о несанкционированном доступе; речь идёт о создании ботнета. Архив подробно описывает, как этот злоумышленник систематически сканировал интернет в поисках незащищённых роутеров и неуправляемых DNS-серверов — идеальных кандидатов для вербовки в распределённую атакующую силу. Это не просто уязвимые устройства; это цифровые солдаты.

DNS Reflection: Двигатель усиления

Понимание того, как это работает, — ключ к разгадке. DNS, телефонная книга интернета, преобразует доменные имена в IP-адреса. Обычно DNS-серверы скупы на информацию, отвечая только на запросы из доверенных сетей. Но некоторые из них настроены некорректно, действуя как открытые коммутаторы, готовые принимать запросы откуда угодно. Злоумышленники используют это, отправляя поддельные DNS-запросы. Хитрость? Запрос выглядит так, будто исходит из сети цели. Поэтому, когда DNS-сервер отвечает, он заливает цель трафиком, а не злоумышленника.

А затем — усиление. Изящное расширение протокола DNS позволяет получать массивные ответы на относительно небольшие запросы. Представьте шёпот, вызывающий крик. Злоумышленники составляют запросы так, чтобы ответ был в 60-70 раз больше исходного запроса. Когда у вас десятки тысяч таких скомпрометированных устройств одновременно отправляют эти усиленные запросы… ну, так и тонут ISP в данных.

Призрак в TP-Link

Раскрытый архив содержит истории командной строки, которые точно указывают на цели вербовки ботнета. В частности, злоумышленник сканировал интернет в поисках роутеров TP-Link Archer AX21. Почему именно они? Потому что они были уязвимы к CVE-2023-1389 — серьёзной уязвимости инъекции команд, которая была исправлена несколько месяцев назад, ещё в апреле 2023 года. Тем не менее, очевидно, многие оставались незащищёнными. Это подчёркивает вечную проблему: задержку между раскрытием уязвимости, выпуском патча и фактическим устранением проблемы на миллионах устройств.

Усугубляет ситуацию то, что вредоносные домены, найденные в Python-скриптах — hikylover[.]st и c.loyaltyservices[.]lol — ранее были идентифицированы как управляющие серверы для IoT-ботнетов на основе вариантов Mirai. Это не новая вредоносная программа; это проверенные методы, ставшие оружием и, по-видимому, размещённые в инфраструктуре анти-DDoS-провайдера.

Собственные ключи CEO

Цифровые следы ведут прямо на вершину. Python-скрипты явно использовали приватные SSH-ключи, принадлежащие генеральному директору Huge Networks, Эрику Насименто. На вопросы Насименто признал файлы, но отрицал написание атакующих программ. Он заявил, что о полном масштабе кампаний узнал только после обращения к нему KrebsOnSecurity. Он предложил такое объяснение:

«Мы получали уведомления и информировали многих Tier 1 апстримов о очень-очень крупных DDoS-атаках на небольшие ISP. В то время мы не копали достаточно глубоко, и то, что вы прислали, теперь проясняет ситуацию».

Насименто указывает на инцидент безопасности, впервые замеченный в январе 2026 года (вероятно, опечатка, скорее всего, имелся в виду 2023 или 2024 год, учитывая дату патча уязвимости). Этот инцидент, как сообщается, скомпрометировал два сервера разработки и его личные SSH-ключи. Он настаивает, что ключи не использовались после января, и реакцией компании было немедленное уведомление команды, стирание затронутых серверов и ротация ключей. Но временные метки в архиве рассказывают историю, выходящую за рамки января.

PR-манёвр против Архитектурной Реальности

Вся эта ситуация кричит о корпоративной работе по минимизации ущерба. История CEO — конкурент, использовавший брешь — правдоподобна, даже вероятна, на жестоком рынке кибербезопасности. Но доказательства указывают на более глубокую, более тревожную интеграцию. Использование личных ключей CEO, рутинное сканирование и эксплуатация конкретных уязвимостей, таких как CVE-2023-1389 на роутерах TP-Link, последовательные атаки на бразильские IP-адреса — это не признаки быстрой, оппортунистической атаки конкурента. Это говорит о наличии устойчивой операционной возможности.

Это ставит фундаментальный вопрос: насколько глубоко законная деятельность Huge Networks была связана с инфраструктурой, используемой для этих атак? Действовала ли активность ботнета независимо, или она каким-то образом черпала ресурсы или даже информацию из основного бизнеса компании? Архитектурный сдвиг здесь — не просто скомпрометированный сервер; это потенциальное перепрофилирование законной инфраструктуры для злонамеренных целей, возможно, с внутренними слепыми зонами или, что ещё хуже, соучастием.

Этот инцидент служит суровым напоминанием о том, что в сложной архитектуре современной кибербезопасности границы между защитником и преступником могут становиться тревожно размытыми. Доверие, оказываемое специализированным фирмам, таким как Huge Networks, имеет первостепенное значение, и когда это доверие подвергается сомнению, вся экосистема ощущает дрожь.

Почему это важно для других ISP?

Этот инцидент — не просто локальный скандал. Это мигающий красный сигнал тревоги для ISP по всему миру. Если компания, специализирующаяся на защите от DDoS, может предположительно хранить инструменты для наступательных атак, что это говорит о состоянии безопасности всех компаний в цепочке поставок? Это подразумевает, что сама защита, на которую мы полагаемся, может быть подвержена перехвату, или что механизмы надзора имеют огромные слепые зоны. Для других ISP это означает удвоение усилий по проверке целостности их поставщиков услуг и точному пониманию того, куда направляется их трафик и какие потенциальные уязвимости существуют в сетях этих партнёров. Это вынуждает более детально анализировать всю экосистему, а не только периметральные средства защиты.

Врёт ли Huge Networks?

Это вопрос на миллион долларов. Генеральный директор предлагает объяснение, связанное с нарушением безопасности и саботажем со стороны конкурентов, что не является совершенно неправдоподобным в мире кибербезопасности. Однако детальный характер раскрытых данных, включая последовательное использование его личных SSH-ключей и операционные детали ботнета, заставляет его рассказ требовать значительного изучения. Доказательства указывают на уровень операционной активности, который может выходить за рамки простого компрометирования ключей. Без дальнейшего независимого криминалистического анализа трудно однозначно назвать его заявления правдивыми или ложными, но представленные факты, безусловно, склоняются к более сложной и, возможно, более удручающей реальности, чем сценарий прямого взлома.

🧬 Связанные материалы

Wei Chen
Written by
Wei Chen

Technical security analyst. Specialises in malware reverse engineering, APT campaigns, and incident response.

#botnet #brazil #ddos #huge-networks #isp #vulnerability
More in Data Breaches →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by Krebs on Security

Related Stories