HackerangriffeMalwareIoT-Sicherheit

Brasilianischer DDoS-Schutzanbieter unter Verdacht: Botnet-Infrastruktur missbraucht

Von CyberDeutsch Redaktion
Brasilianischer DDoS-Schutzanbieter unter Verdacht: Botnet-Infrastruktur missbraucht
Zusammenfassung

Ein brasilianisches Cybersicherheitsunternehmen, das sich auf den Schutz vor DDoS-Angriffen spezialisiert hat, soll selbst eine Botnet-Kampagne gegen brasilianische Internetdienstanbieter betrieben haben. Das Unternehmen Huge Networks, das primär DDoS-Schutzdienstleistungen anbietet, wurde durch geleakte Dateien mit massiven DDoS-Attacken in Verbindung gebracht. Die kompromittierten Dateien zeigen Python-Skripte und private SSH-Schlüssel des CEO Erick Nascimento, die zur Durchführung koordinierter Angriffe auf brasilianische ISPs verwendet wurden. Der Angreifer hatte dabei Zehntausende TP-Link Router mit einer bekannten Sicherheitslücke aus dem Jahr 2023 zu einem Mirai-basierten Botnet vereinigt. Obwohl Nascimento die Vorwürfe zurückweist und eine Sicherheitsverletzung von Januar 2026 anführt, wirft der Fall Fragen über die Integrität von DDoS-Schutzanbietern auf – ein Problem, das Parallelen zu früheren Fällen aufweist, in denen Sicherheitsfirmen selbst als Angreifer tätig waren. Für deutsche Unternehmen und Behörden ist dies relevant, da es zeigt, wie DDoS-Schutzanbieter potenziell kompromittiert werden können und wie wichtig die gründliche Überprüfung der Vertrauenswürdigkeit solcher Dienstleister ist, bevor man ihnen kritische Infrastruktur anvertraut.

Die Entdeckung wirft Fragen zur Integrität von DDoS-Schutzdienstleistern auf, die per se Zugriff auf kritische Netzwerkinfrastruktur haben. Huge Networks, 2014 in Miami gegründet und mit Fokus auf Brasilien, bot sich als vermeintlich vertrauenswürdiger Partner an — ohne bekannte Missbrauchsmeldungen oder Verbindungen zu DDoS-for-Hire-Services.

Doch die Analyse des undicht gewordenen Archivs offenbarte ein anderes Szenario: Ein brasilianischer Threat Actor verfügte über Root-Zugang zur Huge-Networks-Infrastruktur und betrieb von dort aus ein hocheffektives DDoS-Botnet. Die Angreifer nutzten massives Internet-Scanning, um TP-Link Archer AX21-Router zu kompromittieren, die gegen die bereits 2023 gepatchte Sicherheitslücke CVE-2023-1389 anfällig waren. Diese Geräte wurden zu Waffen in einem DNS-Amplifikations- und Reflexionsangriff umgewandelt.

Die Angriffsweise ist technisch ausgefallen: Durch das Ausnutzen von DNS-Protokoll-Erweiterungen erreichten die Angreifer eine bis zu 60-70fache Vergrößerung ihrer Anfragen. Ein DNS-Request unter 100 Byte wurde zur Antwort von mehreren Kilobyte. Mit Zehntausenden kompromittierter Geräte entstand so eine Angriffswaffe von massiver Kraft. Die Python-Scripts zeigten systematische Operationen: Jede IP-Adresse wurde 10 bis 60 Sekunden mit vier parallelen Prozessen angegriffen, bevor das Botnet zum nächsten Ziel wechselte.

Chef Erick Nascimento räumte später ein, dass die Ausmaße der Angriffskampagne lange unerkannt blieben. Er führt die Aktivitäten auf einen Sicherheitsbruch im Januar 2026 zurück, der zwei Entwicklungsserver und seine persönlichen SSH-Schlüssel kompromittierte. Nascimento beteuert seine Unschuld, weist auf gelöschte Systeme und Keywechsel hin — und behauptet sogar, “starke Beweise auf der Blockchain” zu besitzen, die einen Konkurrenten implizieren.

Skeptiker mögen diese Erklärung anzweifeln. Historisch zeigen sich Parallelen: 2016 betrieben die Autoren des original Mirai-Malware selbst ein DDoS-Mitigations-Unternehmen. 2025 beging ein junger Brasilianer mit eigenem DDoS-Schutzservice und mehreren DDoS-for-Hire-Plattformen ähnliche Machenschaften — bis die FBI einschritt.

Für deutsche Administratoren und Sicherheitsverantwortliche ist dies eine Warnung: TP-Link-Router brauchen dringende Sicherheitsupdates, und bei outsourceter DDoS-Mitigation muss Misstrauen legale Kompetenz durchdringen. Das BSI sollte diese Entwicklungen monitoren und ggf. vor vergleichbaren Risiken warnen.

Ähnliche Artikel