反 DDoS 公司意外加剧巴西 ISP 遭受攻击Anti-DDoS Firm Heaped Attacks on Brazilian ISPs

一家专门保护网络免受分布式拒绝服务（DDoS）攻击的巴西科技公司，被证实曾启用一个负责针对巴西其他网络运营商发起大规模DDoS攻击活动的僵尸网络。据 KrebsOnSecurity 报道，该公司首席执行官表示，此次恶意行为源于一次安全漏洞，很可能是竞争对手试图损害其公司公众形象所致。

TP-Link Archer AX21 路由器。图片：tp-link.com。

过去几年中，安全专家一直在追踪一系列源自巴西、且仅以巴西互联网服务提供商（ISP）为目标的大规模DDoS攻击。直到最近，这些数字围城战的幕后黑手仍不明确。本月早些时候，一位要求匿名的可信消息源分享了一个令人惊讶的文件归档，该文件此前在一个公开目录中被暴露于网上。

这个暴露的文件归档中包含多个用Python编写的葡萄牙语恶意程序，还包含了巴西ISP——Huge Networks公司首席执行官的私人SSH身份验证密钥。

Huge Networks成立于佛罗里达州迈阿密，成立于2014年，运营中心位于巴西。该公司最初专注于为游戏服务器提供DDoS防护，后转型成为一家专注于ISP客户的DDoS缓解服务提供商。该公司未出现在任何公开的滥用投诉记录中，也未与任何已知的DDoS即服务（DDoS-for-hire）平台有关联。

然而，暴露的文件显示，一名基于巴西的威胁行为者长期拥有对Huge Networks基础设施的root权限，并通过定期大规模扫描互联网上存在不安全配置的互联网路由器和不受管理的域名系统（DNS）服务器，构建了一个强大的DDoS僵尸网络，以便将其纳入攻击行动。

DNS的作用是让用户通过输入熟悉的域名而非IP地址来访问网站。理想情况下，DNS服务器只应响应其信任域内机器的查询。但所谓的“DNS反射”攻击则利用了那些配置错误（misconfigured）、允许来自整个Web任意来源查询的DNS服务器。攻击者可向这些服务器发送伪造的DNS请求，使请求看似来自目标网络的地址。这样一来，当DNS服务器回复时，就会将响应发往被伪造（即目标）的地址。

通过利用DNS协议的一项扩展功能——支持大型DNS消息，僵尸网络操控者可显著放大反射攻击的规模与威力——构造出比请求大得多的响应。例如，攻击者可以发送不到100字节的DNS请求，从而触发60至70倍大小的响应。这种放大效应在攻击者能同时从数万台受控设备发出此类伪造请求并查询大量DNS服务器时尤为突出。

DNS放大与反射攻击示意图。图片：veracara.digicert.com。

暴露的文件归档中包含一份命令行历史记录，详细展示了该攻击者如何通过搜索互联网上的TP-Link Archer AX21路由器来构建和维护这一强大僵尸网络的具体过程。具体而言，该僵尸网络专门寻找仍存在CVE-2023-1389漏洞的TP-Link设备——这是一个未经身份验证的命令注入漏洞，已于2023年4月修复。

暴露的 Python 攻击脚本中包含对 hikylover[.]st 和 c.loyaltyservices[.]lol 这两个域名的 DNS 查询，这两个域名在过去一年中被标记为 Mirai 变种恶意软件驱动的物联网（IoT）僵尸网络的控制服务器。

泄露的档案显示，该僵尸网络的操控者是从一个数字海洋（Digital Ocean）服务器协调扫描活动的，该服务器在过去一年中因滥用行为被标记了数百次。这些 Python 脚本调用了分配给 Huge Networks 的多个互联网地址，用于识别目标并执行 DDoS 攻击。此次攻击严格局限于巴西的 IP 地址范围，脚本显示每个选定的 IP 地址前缀在 10 到 60 秒内受到攻击，每个主机使用四个并行进程，之后僵尸网络才会转向下一个目标。

档案还显示，这些恶意的 Python 脚本依赖的是 Huge Networks 首席执行官 Erick Nascimento 的私人 SSH 密钥。在被问及这些文件时，Nascimento 表示他并未编写这些攻击程序，直到被 KrebsOnSecurity 联系后才意识到 DDoS 攻击的规模。

“我们收到了许多一级上游运营商关于针对小型 ISP 的大规模 DDoS 攻击的通知，”Nascimento 说。“当时我们没有深入调查，而你所提供的资料清楚地说明了这一点。”

Nascimento 表示，未经授权的活动很可能与 2026 年 1 月首次检测到的一次数字入侵有关，那次入侵破坏了公司两个开发服务器以及他的个人 SSH 密钥。但他表示没有证据表明这些密钥在 1 月之后被使用过。

“我们在当天以书面形式通知了团队，清除了相关设备，并轮换了新密钥，”Nascimento 说，并分享了一张来自数字海洋的 1 月 11 日通知截图。“所有操作均已内部记录。”

Nascimento 表示，自那以后，Huge Networks 已聘请第三方网络取证公司进一步调查此事。

“目前我们的评估是，这一切始于一次内部单点入侵——一个跳板点让攻击者获得了对某些资源的下游访问权限，包括我的一台旧版个人 droplet，”他写道。

“入侵是通过一个 bastion/jump 服务器发生的，多个人员都有访问权限，”Nascimento 继续说道。“数字海洋在 1 月 11 日标记了该 droplet，称其因泄露的 SSH 密钥而被入侵——我当时正在旅行，返回后立即处理了此事。该 droplet 已被弃用并销毁，它从未属于 Huge Networks 的基础设施。”

用于对巴西 ISP 发动 DDoS 攻击的 TP-Link 设备僵尸网络的恶意软件基于 Mirai，这是一种于 2016 年 9 月首次公开亮相的恶意软件，曾发起当时创纪录的 DDoS 攻击，导致本网站离线四天。2017 年 1 月，KrebsOnSecurity 确认 Mirai 的作者正是某家 DDoS 防护公司的共同所有者，该公司利用该僵尸网络攻击游戏服务器以吸引新客户。

2025 年 5 月，KrebsOnSecurity 再次遭遇基于 Mirai 的 DDoS 攻击，谷歌称其为当时所缓解的最大规模攻击。该报道涉及一位二十多岁的巴西男子，他同时运营一家 DDoS 防护公司和多家 DDoS 即服务业务，这些业务后来均被 FBI 查封。

Nascimento 明确否认参与针对巴西运营商的 DDoS 攻击，以为其公司的服务获取业务。

“我们不会对巴西运营商发起 DDoS 攻击来推销防护服务，”纳西门托在回应提问时写道。“我们的销售模式主要是通过渠道集成商、分销商和合作伙伴的被动获客，而非基于市场事件的主动营销。你收到的脚本中的目标对象多为小型区域性服务商，其中绝大多数既不在我们的客户名单中，也不在我们的商业管线中——这一事实可通过 QRator 等公开渠道验证。”

纳西门托坚称自己“在区块链上保存了强有力的证据”，证明这一切均由竞争对手所为。至于具体是哪家公司，这位 CEO 并未透露。

“我也很想把这些资料分享给你，但这样发布会失去对那位不诚实的竞争对手的突袭效果，”他解释道。“巧合的是——无论是否真的巧合——你的联系人恰好安排在一场重要活动前一周——而这场活动这位竞争对手从未参加过（它是该行业的传统盛会）。但今年他们却要参加了。这难道不奇怪吗？”

确实很奇怪。