Firma anty-DDoS stała się bazą botnetu

TL;DR

¹ Huge Networks, brazylijska firma zajmująca się ochroną sieci przed atakami DDoS, miała umożliwiać botnetowi przeprowadzanie masowych ataków na brazylijskich operatorów ISP. ² Operator z Brazylii utrzymywał dostęp root do infrastruktury firmy i zbudował botnet poprzez skanowanie internetu w poszukiwaniu niezabezpieczonych routerów i serwerów DNS. Prezes firmy twierdzi, że incydent wynikł z naruszenia bezpieczeństwa i był dziełem konkurenta — jednak bez potwierdzenia przez niezależne źródła.

Jak to się stało

³ Huge Networks została założona w Miami na Florydzie w 2014 roku, ⁴ a jej operacje skoncentrowane są w Brazylii. Firma ⁴ powstała z ochrony serwerów gier przed atakami DDoS i ewoluowała w dostawcę usług mitygacji DDoS dla operatorów ISP.

To, co powinno być fortecą bezpieczeństwa — okazało się bramą dla atakujących. ² Operator z Brazylii utrzymywał dostęp root do infrastruktury Huge Networks i zbudował botnet poprzez rutynowe skanowanie internetu w poszukiwaniu niezabezpieczonych routerów i serwerów DNS (Domain Name System — system tłumaczący nazwy domen na adresy IP).

Wektor ataku: routery TP-Link i stara luka

⁵ Botnet szukał routerów TP-Link Archer AX21 podatnych na CVE-2023-1389 ⁶ — lukę typu command injection w uwierzytelnianiu (zdalne wykonanie kodu bez autoryzacji), naprawioną w kwietniu 2023 roku.

Luka była znana i naprawiona prawie 3 lata temu. Fakt, że botnet wciąż ją wykorzystuje — wskazuje na to, że wiele urządzeń nigdy nie zostało zaktualizowanych. Dla polskich firm i operatorów ISP to sygnał — urządzenia sieciowe bez regularnych aktualizacji mogą stać się punktem wejścia dla botnetów.

Infrastruktura ataku

Złośliwe skrypty Pythona użyte do budowy botnetu zawierały ⁷ zapytania DNS do domen hikylover[.]st i c.loyaltyservices[.]lol, oznaczonych jako serwery kontrolne dla botnetu IoT opartego na wariancie malware Mirai.

Mirai to klasyk — malware IoT, który od 2016 roku służy do budowy botnetów DDoS. Jego ciągłe wykorzystywanie pokazuje, jak skuteczny pozostaje, gdy infrastruktura nie jest zaktualizowana.

Co to znaczy dla polskich firm

Incydent Huge Networks to lekcja dla polskich operatorów ISP, dostawców usług chmurowych i firm zajmujących się mitygacją zagrożeń:

1. Dostęp root = całkowita kompromitacja. Jeśli atakujący ma dostęp root do infrastruktury ochrony, może jej użyć do ataku. Segmentacja, monitoring dostępu, rotacja kluczy — to nie opcje, to wymóg.

2. Urządzenia sieciowe bez aktualizacji to potencjalne zagrożenie. Routery TP-Link Archer AX21 podatne na CVE-2023-1389 wciąż są skanowane i eksploatowane. Polskie firmy MŚP i operatorzy ISP powinni mieć proces automatycznego aktualizowania lub wymianę urządzeń.

3. Botnet Mirai wciąż aktywny. Jeśli Twoja infrastruktura jest widoczna w sieci (publiczne IP, otwarte porty), może być skanowana przez botnet szukający podatnych urządzeń.

Co zrobić w 24-48h

• Sprawdź inwentarz routerów: czy masz TP-Link Archer AX21? Jeśli tak — sprawdź wersję oprogramowania. Powinna być nowsza niż z kwietnia 2023.
• Skanuj sieć: użyj narzędzi typu Nessus, OpenVAS lub Shodan, aby znaleźć niezaktualizowane urządzenia sieciowe w Twojej infrastrukturze.
• Monitoruj dostęp root: jeśli zarządzasz infrastrukturą ochrony DDoS, włącz szczegółowe logowanie dostępu root. Każde zalogowanie powinno być alertem.
• Wymień klucze SSH: jeśli masz dostęp do serwerów, zmień klucze SSH i hasła administratorskie. Operator mógł mieć dostęp przez długi czas.
• Sprawdź logi DNS: szukaj zapytań do hikylover[.]st lub c.loyaltyservices[.]lol. Jeśli je znajdziesz, oznacza to, że Twoja sieć mogła być skanowana przez botnet.

Atrybucja

Dostępne materiały nie zawierają konkretnych danych o atrybucji ataku poza informacją, że sprawca pochodzi z Brazylii. Prezes Huge Networks twierdzi, że incydent wynikł z naruszenia bezpieczeństwa i był dziełem konkurenta — to jednak spekulacja bez potwierdzenia przez niezależne źródła.

Źródła

Zobacz też

• Canvas: 275 mln danych szkół w rękach atakujących
• CVE-2025-12465: Blind SQL Injection w systemie QuickCMS
• CVE-2026-6637: Luka w PostgreSQL pozwala na wykonanie kodu

Footnotes

1. Huge Networks to brazylijska firma specjalizująca się w ochronie sieci przed atakami DDoS — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩

2. Operator z Brazylii utrzymywał dostęp root do infrastruktury Huge Networks i zbudował botnet poprzez skanowanie internetu w poszukiwaniu niezabezpieczonych routerów i serwerów DNS — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩ ↩²

3. Huge Networks została założona w Miami na Florydzie w 2014 roku — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩

4. Huge Networks powstała z ochrony serwerów gier przed atakami DDoS i ewoluowała w dostawcę usług mitygacji DDoS dla ISP — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩ ↩²

5. Botnet szukał routerów TP-Link Archer AX21 podatnych na CVE-2023-1389 — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩

6. CVE-2023-1389 to luka typu command injection w uwierzytelnianiu w routerach TP-Link, naprawiona w kwietniu 2023 — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩

7. Złośliwe domeny w skryptach ataku zawierały hikylover[.]st i c.loyaltyservices[.]lol, oznaczone jako serwery kontrolne dla botnetu IoT opartego na wariancie malware Mirai — https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/ ↩