Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Aprile! Scopri di più
DDoS Brasile Shock: botnet alimentata da infrastrutture anti-DDoS, exploit TP-Link AX21 e DNS amplification devastano gli ISP
Una recente indagine sulla sicurezza informatica ha acceso i riflettori su una campagna di attacchi DDoS in Brasile che per anni ha colpito quasi esclusivamente i provider Internet locali. Il punto chiave è che una società tecnologica specializzata in protezione anti DDoS e mitigazione per ISP avrebbe avuto infrastrutture utilizzate come leva operativa per alimentare un botnet, con effetti concreti su altri operatori di rete brasiliani.
La svolta è arrivata dopo l’esposizione online di un archivio di file accessibile da directory aperta. All’interno sono stati trovati programmi malevoli in lingua portoghese scritti in Python e dati sensibili legati all’accesso remoto, inclusi elementi di autenticazione SSH associati al vertice aziendale. I file mostrano come un attaccante abbia mantenuto accesso con privilegi elevati e abbia orchestrato una rete di dispositivi compromessi per eseguire attacchi DDoS su larga scala.
Costruzione del botnet e dispositivi vulnerabili
L’aspetto tecnico più rilevante riguarda la costruzione del botnet tramite scansioni massive di Internet alla ricerca di router vulnerabili e server DNS non gestiti o configurati in modo errato. In particolare emergono riferimenti a router TP-Link Archer AX21 ancora esposti a una vulnerabilità di command injection non autenticata identificata come CVE-2023-1389, corretta da tempo ma ancora presente su molti dispositivi non aggiornati. Questo scenario è tipico dell’Internet of Things, dove firmware obsoleti e credenziali deboli trasformano apparati domestici in risorse per attacchi.
Tecniche impiegate: DNS reflection e DNS amplification
Gli script descrivono anche l’uso di tecniche di DNS reflection e DNS amplification. In pratica, l’aggressore invia richieste DNS con indirizzo sorgente falsificato, facendo apparire la vittima come mittente. I server DNS rispondono poi verso il bersaglio, amplificando il traffico grazie a risposte molto più grandi della richiesta iniziale. Con migliaia di dispositivi compromessi e numerosi resolver aperti, l’effetto diventa devastante per gli ISP colpiti.
Operatività degli attacchi e risposta della società
Dalle tracce operative emerge una gestione automatizzata degli attacchi su prefissi IP brasiliani, con finestre brevi ma ripetute e processi paralleli. La società coinvolta sostiene che l’origine sia una violazione interna e che un competitor avrebbe tentato di danneggiarne l’immagine, dichiarando rotazione delle chiavi e attivazione di analisi forense di terze parti.