https://cyberveille.ch/tags/dns-amplification/ Recent content in DNS Amplification on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 03 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-03-une-firme-anti-ddos-bresilienne-accusee-d-avoir-orchestre-des-attaques-contre-des-fai-bresiliens/ Sun, 03 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-03-une-firme-anti-ddos-bresilienne-accusee-d-avoir-orchestre-des-attaques-contre-des-fai-bresiliens/ <h2 id="-contexte">🗞️ Contexte</h2> <p>Source : KrebsOnSecurity — Publié le 30 avril 2026. Un fichier archive exposé dans un répertoire ouvert en ligne a été transmis à KrebsOnSecurity par une source anonyme. Ce fichier contient des éléments compromettants impliquant <strong>Huge Networks</strong>, une société brésilienne fondée à Miami en 2014, spécialisée dans la <strong>protection DDoS pour opérateurs réseau</strong>.</p> <h2 id="-activité-malveillante-identifiée">🎯 Activité malveillante identifiée</h2> <p>L&rsquo;archive exposée révèle qu&rsquo;un acteur malveillant basé au Brésil a :</p> <ul> <li>Maintenu un <strong>accès root à l&rsquo;infrastructure de Huge Networks</strong></li> <li>Construit un <strong>botnet DDoS puissant</strong> en scannant massivement Internet à la recherche de routeurs <strong>TP-Link Archer AX21</strong> vulnérables à <strong>CVE-2023-1389</strong> (injection de commande non authentifiée, patchée en avril 2023)</li> <li>Utilisé des <strong>serveurs DNS mal configurés</strong> pour des attaques par <strong>réflexion/amplification DNS</strong> (facteur d&rsquo;amplification x60-70)</li> <li>Ciblé <strong>exclusivement des plages d&rsquo;adresses IP brésiliennes</strong> (FAI régionaux)</li> <li>Coordonné les scans depuis un <strong>serveur Digital Ocean</strong> signalé des centaines de fois pour activité abusive</li> <li>Utilisé les <strong>clés SSH privées du CEO Erick Nascimento</strong> dans les scripts d&rsquo;attaque Python</li> </ul> <h2 id="-détails-techniques">🛠️ Détails techniques</h2> <ul> <li><strong>Malware</strong> : variante de <strong>Mirai</strong> (IoT botnet)</li> <li><strong>Vulnérabilité exploitée</strong> : CVE-2023-1389 sur routeurs TP-Link Archer AX21</li> <li><strong>Domaines C2 identifiés</strong> : hikylover[.]st, c.loyaltyservices[.]lol</li> <li><strong>Scripts</strong> : programmes Python en langue portugaise, incluant historique de commandes et clés SSH</li> <li><strong>Méthode d&rsquo;attaque</strong> : chaque préfixe IP ciblé attaqué 10-60 secondes avec 4 processus parallèles par hôte</li> <li><strong>Technique DDoS</strong> : amplification DNS via serveurs récursifs ouverts</li> </ul> <h2 id="-position-du-ceo">👤 Position du CEO</h2> <p><strong>Erick Nascimento</strong> (CEO de Huge Networks) nie toute implication directe. Il attribue l&rsquo;activité à une <strong>intrusion détectée le 11 janvier 2026</strong> ayant compromis deux serveurs de développement et ses clés SSH personnelles via un serveur bastion/jump server. Il affirme avoir détruit le droplet compromis et rotation des clés le jour même. Une <strong>firme tierce de forensics réseau</strong> a été mandatée. Il affirme détenir des preuves blockchain impliquant un concurrent.</p>