Самый успешный документ в истории. Его не существует.
Image

Антипов про самый живучий фейк в истории. Спойлер: дело не в евреях

Фейк без единого оригинального предложения пережил две мировые войны, холодную войну и интернет. 46% взрослого населения планеты до сих пор держит в голове хотя бы один миф из этого текста. Разбираю, как работает машина, которую давно остановили, но никто не заметил.

«Нас подставили! Это не мы». Глава IT-компании оправдывается за ботнет, найденный на его серверах

leer en español

26394
Huge Networks Эрик Насименту KrebsOnSecurity TP-Link Mirai DDoS Бразилия
«Нас подставили! Это не мы». Глава IT-компании оправдывается за ботнет, найденный на его серверах
Huge Networks Эрик Насименту KrebsOnSecurity TP-Link Mirai DDoS Бразилия

Каждое новое доказательство только добавляет вопросов к версии руководства.

image

ИБ-компания из Бразилии оказалась в центре истории, которая выглядит особенно иронично: фирма, продающая защиту от DDoS-атак, сама оказалась связана с инфраструктурой ботнета, бившего по местным интернет-провайдерам. Руководитель Huge Networks отрицает причастность к атакам и утверждает, что компанию подставили после взлома, однако в эту историю экспертам верится уже меньше.

По данным KrebsOnSecurity, несколько лет специалисты отслеживали крупные DDoS-атаки, которые исходили из Бразилии и были направлены только против бразильских операторов связи. Новые детали появились после того, как анонимный источник передал архив, найденный в открытом онлайн-каталоге.

В архиве лежали вредоносные Python-скрипты на португальском языке, история командной строки и закрытые SSH-ключи, принадлежавшие генеральному директору Huge Networks Эрику Насименту. Huge Networks была основана в Майами в 2014 году, но работает главным образом на бразильском рынке. Компания начинала с защиты игровых серверов, а затем стала предлагать защиту от DDoS для провайдеров.

Содержимое архива показывает, что злоумышленник с доступом уровня root к инфраструктуре Huge Networks собирал ботнет через массовое сканирование интернета. Скрипты искали уязвимые роутеры TP-Link Archer AX21, на которых оставалась открытой уязвимость CVE-2023-1389. Производитель закрыл брешь в апреле 2023 года, однако часть устройств, судя по всему, так и не получила исправления.

Ботнет также использовал открытые DNS-серверы для отражённых атак с усилением (DNS Amplification and Reflection Attack). При такой схеме запрос подделывается так, будто исходит от жертвы, а ответ от множества DNS-серверов уходит уже на её адрес. За счёт крупных DNS-ответов нагрузка на цель резко растёт.

Вредоносные домены из скриптов ранее связывали с IoT-ботнетом на базе Mirai. Команды запускались через сервер Digital Ocean, который за последний год сотни раз фигурировал в жалобах на злоупотребления. В скриптах также встречались IP-адреса Huge Networks, через которые выбирались цели и запускались атаки. Кампании били только по бразильским диапазонам, а каждый префикс атаковали от 10 до 60 секунд в несколько параллельных потоков.

Эрик Насименту заявил KrebsOnSecurity, что не писал вредоносные программы и не знал масштаба кампании до обращения журналистов. По его версии, следы ведут к инциденту января 2026 года, когда были скомпрометированы два сервера разработки и личные SSH-ключи. После предупреждения от Digital Ocean компания, по словам руководителя, очистила системы и сменила ключи.

Если Huge Networks всё же была причастна к кампании, атаки могли использоваться не только для прямого нарушения работы конкурирующих провайдеров, но и для подрыва доверия к их сетям. Также такой сценарий теоретически мог повышать интерес рынка к услугам защиты от DDoS, однако опубликованные данные не доказывают этого напрямую.

Сам Насименту, в свою очередь, утверждает обратное — что за атакой мог стоять конкурент, который хотел ударить по репутации Huge Networks. Название предполагаемого конкурента он не раскрыл, сославшись на планы использовать собранные доказательства позднее. Huge Networks также привлекла стороннюю компанию для сетевой криминалистики.