長年にわたり、セキュリティ専門家はブラジルを起点とし、ブラジルのISPのみを標的とする一連の重大なDDoS攻撃を追跡してきた。最近の調査により、その潜在的な発生源が**Huge Networks**内の侵害されたインフラストラクチャであることが明らかになった。 ### 暴露されたアーカイブからSSHキーとボットネット活動が判明 暴露されたファイルアーカイブには、Pythonで書かれた悪意のあるプログラムと、**Huge Networks**のCEOである**Erick Nascimento**氏個人のSSH認証キーが含まれていた。この発見は、脅威アクターが**Huge Networks**のインフラストラクチャへのrootアクセス権を取得し、インターネット上で脆弱なルーターやDNSサーバーをスキャンして強力なDDoSボットネットを構築したことを示唆している。 ### DNSアンプリフィケーション攻撃 ボットネットは、DNSアンプリフィケーション攻撃を利用して影響を最大化している。どのソースからのクエリでも受け付ける設定ミスのあるDNSサーバーを悪用することで、攻撃者は標的のネットワークから発信されたように見せかけた偽装されたリクエストを送信できる。これにより、DNSサーバーは増幅された応答を標的アドレスに返し、被害者のネットワークを圧倒する。  ### TP-Linkルーターの標的化 暴露されたアーカイブには、攻撃者が脆弱な**TP-Link Archer AX21**ルーターをスキャンしてボットネットを構築・維持した方法を示すコマンドライン履歴が含まれている。このボットネットは、2023年4月にパッチが適用された認証不要のコマンドインジェクション脆弱性である**CVE-2023-1389**に脆弱なデバイスを特に標的としている。  攻撃スクリプトに関連する悪意のあるドメイン、例えばhikylover[.]stやc.loyaltyservices[.]lolは、以前から**Mirai malware**亜種によって駆動されるIoTボットネットの制御サーバーとしてフラグが立てられていた。 ### Huge Networksの対応 **Erick Nascimento**氏は侵入を認め、不正な活動は2026年1月に検出されたセキュリティ侵害に関連している可能性が高いと述べた。同社の開発サーバー2台と自身のSSHキーが侵害されたと主張している。しかし、キーが1月以降に使用された証拠はなく、同社は第三者のフォレンジック企業に調査を依頼していると述べている。また、同社のビジネスを促進するためにブラジルの事業者に対するDDoS攻撃に関与したことは否定している。 Nascimento氏は、**Huge Networks**の評判を失墜させようとする競合他社が攻撃の背後にいる可能性を示唆している。この理論を裏付ける証拠をブロックチェーン上に保管していると主張している。 ### Miraiの遺産 ボットネットのソフトウェアは、記録的なDDoS攻撃の実行で知られるマルウェアファミリーである**Mirai**に基づいている。**Mirai**は、DDoS緩和サービスプロバイダーがゲームサーバーを攻撃し、新規顧客を獲得するために使用されてきた歴史がある。