Находчиви хакери използват ботнет от хиляди рутери, камери и други свързани с интернет устройства, за да извършват изключително уклончиви атаки с пръскане на пароли срещу потребителите на облачната услуга Azure на Microsoft, предупреди компанията в четвъртък.
Зловредната мрежа, съставена почти изцяло от рутери TP-Link, е документирана за първи път през октомври 2023 г. от изследовател, който я нарича Botnet-7777. Географски разпръснатата колекция от повече от 16 000 компрометирани устройства в пика на своето развитие получава името си, защото излага зловредния си софтуер на порт 7777.
През юли и отново през август тази година изследователи по сигурността от Sekoia.io и Team Cymru съобщиха, че ботнетът все още функционира. И в трите доклада се казва, че Botnet-7777 се използва за умело извършване на пръскане на пароли - форма на атака, при която се изпращат голям брой опити за влизане в системата от много различни IP адреси. Тъй като всяко отделно устройство ограничава опитите за влизане в системата, внимателно координираната кампания за превземане на акаунти е трудна за откриване от целевата услуга.
Миналият четвъртък Microsoft съобщи, че CovertNetwork-1658 - името, което Microsoft използва за проследяване на ботнета - се използва от множество китайски участници в заплахи в опит да компрометират целеви акаунти в Azure. Компанията заяви, че атаките са „силно маскирани“, тъй като ботнетът - който сега се оценява средно на около 8000 души - полага усилия да прикрие злонамерената дейност.
Някои от характеристиките, които затрудняват откриването, са:
Използването на компрометирани SOHO IP адреси.
Използване на ротационен набор от IP адреси във всеки един момент. Участниците в заплахата са разполагали с хиляди налични IP адреси. Средното време за работа на възел на CovertNetwork-1658 е приблизително 90 дни.
Процесът на пръскане на пароли с малък обем; например наблюдението за множество неуспешни опити за влизане от един IP адрес или към един акаунт няма да открие тази дейност.
Активността на CovertNetwork-1658 е намаляла през последните месеци, но Microsoft оценява, че това не е така, защото участниците в заплахите са ограничили операциите му.
Една от групите за заплахи, които Microsoft посочва като използващи ботнета, се проследява под името Storm-0940. Групата редовно се насочва към мозъчни тръстове, правителствени организации, неправителствени организации, адвокатски кантори, отбранителни индустриални бази и други в Северна Америка и Европа. След като целевите акаунти в Azure бъдат компрометирани, участниците в заплахата се опитват да преминат странично към други части на заразената мрежа. Участниците в заплахата също така се опитват да извлекат данни и да инсталират троянски коне за отдалечен достъп.
Снимка: Unsplash
Виж още: Ето кои Android производители разчитат най-много на чужди дизайни за телефоните си