Firma anty-DDoS powiązana z falą ataków na brazylijskich operatorów ISP

Wprowadzenie do problemu / definicja

Ataki DDoS pozostają jednym z najczęściej wykorzystywanych narzędzi do zakłócania działania usług sieciowych. Szczególnie niebezpieczne są kampanie łączące przejęte urządzenia IoT z technikami amplifikacji DNS, ponieważ pozwalają napastnikom generować bardzo duży wolumen ruchu przy relatywnie niskim koszcie operacyjnym.

Opisywany przypadek dotyczy brazylijskiego podmiotu działającego na rynku ochrony przed DDoS, którego infrastruktura i dane dostępowe miały zostać wykorzystane w długotrwałej kampanii wymierzonej w lokalnych operatorów internetowych. Sprawa jest istotna nie tylko ze względu na samą skalę ataków, ale również dlatego, że dotyka wiarygodności firm oferujących usługi bezpieczeństwa.

W skrócie

Ujawnione materiały wskazują, że infrastruktura firmy związanej z ochroną anty-DDoS mogła zostać użyta jako zaplecze techniczne do prowadzenia zmasowanych ataków przeciwko brazylijskim ISP. Analiza artefaktów sugeruje wykorzystanie skryptów w Pythonie, prywatnych kluczy SSH oraz mechanizmów skanowania Internetu w poszukiwaniu podatnych routerów i błędnie skonfigurowanych serwerów DNS.

• Kampania miała być ukierunkowana geograficznie na Brazylię.
• W atakach wykorzystywano urządzenia IoT podatne na znane luki bezpieczeństwa.
• Istotną rolę odegrały techniki amplifikacji DNS i automatyzacja działań.
• Kierownictwo firmy zaprzeczyło celowemu udziałowi, wskazując na wcześniejsze naruszenie bezpieczeństwa.

Kontekst / historia

Od dłuższego czasu brazylijscy operatorzy internetowi zmagali się z powtarzającymi się atakami DDoS, których źródło nie było jednoznacznie zidentyfikowane. Nowe światło na sprawę rzuciło ujawnienie publicznie dostępnego archiwum plików, zawierającego narzędzia ofensywne, historię poleceń oraz informacje wskazujące na utrzymywany dostęp uprzywilejowany do zasobów powiązanych z dostawcą usług ochronnych.

Znaczenie tej historii wykracza poza pojedynczy incydent. Branża cyberbezpieczeństwa od lat zmaga się z paradoksem polegającym na tym, że firmy chroniące przed zagrożeniami dysponują infrastrukturą, wiedzą i kompetencjami, które w przypadku nadużycia lub kompromitacji mogą zostać wykorzystane ofensywnie. To rodzi pytania o nadzór, kontrolę dostępu oraz rzeczywistą dojrzałość operacyjną takich organizacji.

Analiza techniczna

Najważniejszym elementem technicznym kampanii było połączenie dwóch metod: przejmowania urządzeń IoT oraz wykorzystywania otwartych lub błędnie skonfigurowanych serwerów DNS do ataków odbiciowych i amplifikacyjnych. Według dostępnych informacji atakujący skanowali Internet pod kątem routerów TP-Link Archer AX21 podatnych na lukę CVE-2023-1389, umożliwiającą zdalne wykonanie poleceń bez uwierzytelnienia.

Po przejęciu urządzeń mogły one służyć zarówno jako element botnetu generującego ruch DDoS, jak i jako narzędzie do dalszego rozpoznania sieci. Równolegle wykorzystywano serwery DNS odpowiadające na zapytania z dowolnych adresów w Internecie. W takim scenariuszu napastnik wysyła pakiety z podszytym adresem źródłowym ofiary, a serwer DNS odsyła odpowiedź do wskazanego celu, zwiększając natężenie ataku dzięki efektowi wzmacniania.

Analiza sugeruje też wysoki poziom automatyzacji operacji. Zestaw narzędzi miał obejmować skrypty ułatwiające budowę i utrzymanie botnetu, a także użycie wielu adresów IP przypisanych do infrastruktury sieciowej powiązanej z dostawcą usług ochronnych. Ataki miały być prowadzone sekwencyjnie przeciwko wybranym prefiksom adresowym w Brazylii, w krótkich seriach i z wykorzystaniem wielu równoległych procesów.

W ujawnionych materiałach pojawiły się także oznaki wykorzystania wariantu z rodziny Mirai. To istotne, ponieważ pochodne Mirai od lat stanowią jedno z głównych zagrożeń dla urządzeń IoT. Ich skuteczność wynika z masowej skali skanowania, prostoty infekcji oraz łatwości dostosowania kodu do nowych podatności i nowych klas urządzeń brzegowych.

Dodatkowym wątkiem jest użycie prywatnych kluczy SSH należących do prezesa firmy. Jeżeli rzeczywiście zostały one przejęte podczas wcześniejszego naruszenia, mogło dojść do klasycznego pivotingu, w którym pojedynczy punkt kompromitacji daje napastnikowi możliwość przemieszczania się po środowisku, podszywania się pod legalnego administratora i ukrywania działań pod pozorem zwykłych operacji infrastrukturalnych.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem takich działań jest zakłócenie pracy operatorów ISP, a w konsekwencji ograniczenie dostępności usług dla klientów końcowych. Nawet krótkie, ale powtarzalne ataki wolumetryczne mogą przeciążać łącza upstream, destabilizować usługi DNS, wywoływać problemy z routingiem i pogarszać reputację operatora.

Ryzyko ma jednak szerszy wymiar. Incydent podważa zaufanie do dostawców usług bezpieczeństwa sieciowego, pokazując, że ich infrastruktura może stać się narzędziem ataku lub zostać wykorzystana po wcześniejszej kompromitacji. Jednocześnie przypadek ujawnia trwały problem nieaktualizowanych urządzeń brzegowych w środowiskach SOHO i SMB oraz niskiej skuteczności podstawowych praktyk bezpieczeństwa, takich jak właściwa konfiguracja DNS i rotacja poświadczeń administracyjnych.

Dla zespołów SOC i NOC zagrożeniem jest również charakter takich kampanii. Krótkie, rotacyjne serie ataków mogą wyglądać jak testowanie pojemności łączy, rozpoznanie filtrów ochronnych albo etap przygotowawczy do większej operacji wymuszeniowej. Bez odpowiedniej korelacji telemetrii pojedyncze zdarzenia mogą nie zostać właściwie zinterpretowane.

Rekomendacje

Operatorzy telekomunikacyjni oraz dostawcy usług bezpieczeństwa powinni potraktować ten incydent jako sygnał do przeglądu zarówno architektury technicznej, jak i procedur organizacyjnych.

• Wymuszać aktualizacje urządzeń brzegowych, zwłaszcza routerów podatnych na znane luki zdalnego wykonania poleceń.
• Eliminować publicznie dostępne otwarte resolvery DNS oraz ograniczać rekursję wyłącznie do uzasadnionych przypadków biznesowych.
• Wdrażać filtrację antyspoofingową, aby ograniczyć skuteczność ataków odbiciowych.
• Segmentować infrastrukturę administracyjną i oddzielać bastiony, środowiska deweloperskie oraz systemy produkcyjne.
• Rotować klucze SSH i wzmacniać kontrolę dostępu uprzywilejowanego z użyciem nowocześniejszych mechanizmów zarządzania tożsamością.
• Monitorować wychodzące skanowanie, nietypowe wzorce połączeń oraz aktywność z hostów administracyjnych i instancji chmurowych.
• Korelować dane z DNS, NetFlow, BGP i logów systemowych, aby wykrywać krótkie, rozproszone kampanie wolumetryczne.
• Prowadzić niezależne dochodzenia forensic po incydentach dotyczących infrastruktury zarządzającej.
• Utrzymywać aktualny rejestr kluczy, sekretów, kont i zależności pomiędzy zasobami.
• Ćwiczyć scenariusze kryzysowe, w których własna infrastruktura organizacji staje się narzędziem ataku na podmioty trzecie.

Podsumowanie

Opisywany incydent łączy kilka charakterystycznych dla współczesnego krajobrazu zagrożeń elementów: podatne urządzenia IoT, botnet inspirowany rodziną Mirai, amplifikację DNS oraz możliwe nadużycie lub kompromitację legalnej infrastruktury dostawcy usług bezpieczeństwa. Niezależnie od tego, czy źródłem problemu była świadoma działalność, czy wykorzystanie skutków wcześniejszego włamania, sprawa pokazuje, że zaufanie do firm oferujących ochronę sieciową musi opierać się na realnej dojrzałości operacyjnej, a nie wyłącznie na deklaracjach marketingowych.

Dla operatorów ISP i zespołów bezpieczeństwa to ważne przypomnienie, że skuteczna obrona przed DDoS zaczyna się znacznie wcześniej niż na etapie filtrowania ruchu. Kluczowe pozostają higiena konfiguracji, zarządzanie podatnościami, ochrona dostępu uprzywilejowanego oraz zdolność do szybkiego wykrywania oznak kompromitacji we własnym środowisku.

Źródła

1. Anti-DDoS Firm Heaped Attacks on Brazilian ISPs — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/
2. TP-Link Security Advisory for CVE-2023-1389 — https://www.tp-link.com/us/support/faq/3495/
3. CVE-2023-1389 — CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
4. Understanding DNS Amplification Attacks — https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/
5. Mirai Botnet — CISA — https://www.cisa.gov/news-events/alerts/2017/10/18/heightened-ddos-threat-posed-mirai-and-other-botnets