Routerele TP-Link piratate în centrul unei rețele botne masive folosite pentru a ataca clienții Azure

URMĂREȘTE-NE
16,065FaniÎmi place
1,142CititoriConectați-vă

Rețeaua este probabil încă operațională și probabil că va dobândi infrastructură nouă

În context: CovertNetwork-1658 este o reamintire clară a jocului în curs de desfășurare a pisicii și șoarecele dintre profesioniștii în securitate cibernetică și actorii amenințărilor. Utilizarea dispozitivelor compromise ca parte a unei rețele bot subliniază, de asemenea, importanța securizării dispozitivelor IoT și a actualizării regulate a firmware-ului pe routere și alte echipamente de rețea.

Microsoft a dezvăluit o rețea complexă de dispozitive compromise pe care hackerii chinezi le folosesc pentru a lansa atacuri extrem de evazive prin pulverizare de parole împotriva clienților Microsoft Azure. Această rețea, numită CovertNetwork-1658 de Microsoft, a furat în mod activ acreditările de la mai mulți clienți Microsoft din august 2023.

Atacurile folosesc o rețea botnet de mii de routere de birou și birou de acasă (SOHO), camere și alte dispozitive conectate la internet. La apogeul său, în rețeaua botnet existau peste 16.000 de dispozitive, dintre care majoritatea erau routere TP-Link.

CovertNetwork-1658, cunoscut și sub denumirea de xlogin și Quad7 (7777), se crede că este înființat și întreținut de un actor de amenințare situat în China. Numele rețelei provine din sistemul de clasificare Microsoft, unde „CovertNetwork” se referă la o colecție de IP-uri de ieșire constând din dispozitive compromise sau închiriate care pot fi utilizate de unul sau mai mulți actori amenințări.

Hackerii exploatează o vulnerabilitate a routerelor pentru a obține capacitatea de execuție a codului de la distanță, deși metoda specifică de exploatare este încă în curs de investigare. Odată ce accesul este realizat, actorii amenințărilor fac mai mulți pași pentru a pregăti routerul pentru operațiunile de pulverizare a parolelor. Acești pași includ descărcarea fișierelor binare backdoor Telnet și xlogin de pe un server FTP (File Transfer Protocol), pornirea unui shell de comandă cu acces controlat pe portul TCP 7777 și configurarea unui server SOCKS5 pe portul TCP 11288.

CovertNetwork-1658 este extrem de evaziv, ceea ce îl face deosebit de periculos. Atacurile de pulverizare a parolelor sunt efectuate prin această rețea proxy, asigurându-se că încercările provin de la dispozitivele compromise. În aproximativ 80% din cazuri, CovertNetwork-1658 face o singură încercare de conectare pe cont zilnic, ceea ce face dificilă detectarea utilizând măsurile tradiționale de securitate.

Rețeaua folosește, de asemenea, adrese IP SOHO compromise, un set rotativ de adrese IP și procesul de pulverizare a parolelor cu volum redus. În medie, Microsoft a observat aproximativ 8.000 de dispozitive compromise implicate în mod activ în rețeaua CovertNetwork-1658 la un moment dat, aproximativ 20% dintre aceste dispozitive efectuând pulverizarea parolelor.

Microsoft a legat sursa acestor atacuri de pulverizare de parole cu mai mulți actori de amenințări chinezi. În special, un grup cunoscut sub numele de Storm-0940 a fost observat folosind acreditările obținute de la CovertNetwork-1658. Relația dintre CovertNetwork-1658 și Storm-0940 pare să fie strânsă, Microsoft observând Storm-0940 folosind acreditările compromise obținute de la CovertNetwork-1658 în aceeași zi.

Odată ce Storm-0940 obține acces la mediul unei victime, folosește diverse tactici pentru a-și extinde raza de acțiune. Acestea includ instrumente de scanare și descărcare a acreditărilor pentru deplasarea laterală în cadrul rețelei, încercarea de a accesa dispozitivele de rețea și de a instala instrumente proxy și troieni de acces la distanță (RAT) pentru persistență și încercarea de a exfiltra date.

Amploarea acestei operațiuni este deosebit de îngrijorătoare, deoarece orice actor de amenințări care utilizează infrastructura CovertNetwork-1658 poate desfășura campanii masive de pulverizare a parolelor. Acest lucru, combinat cu schimbarea rapidă a acreditărilor compromise între CovertNetwork-1658 și actorii de amenințări chinezi, înseamnă că conturile pot fi compromise rapid în mai multe sectoare și regiuni geografice.

În timp ce rapoartele recente de la furnizori de securitate precum Sekoia și Team Cymru au dus la o scădere a utilizării infrastructurii originale a CovertNetwork-1658, Microsoft consideră că rețeaua este încă operațională și că actorii amenințărilor vor dobândi probabil infrastructură nouă cu amprente modificate pentru a evita detectarea.

Microsoft a notificat direct clienții vizați sau compromisi. Deși Redmond nu a oferit sfaturi specifice cu privire la modul în care utilizatorii de routere TP-Link și alte dispozitive afectate pot preveni sau detecta infecțiile, unii experți sugerează că repornirea periodică a acestor dispozitive poate ajuta la dezinfectarea temporară a acestora.

Dominic Botezariu
Dominic Botezariuhttps://www.noobz.ro/
Creator de site și redactor-șef.

Cele mai noi știri

Pe același subiect

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.