Od ponad roku Microsoft Azure zmaga si? z seri? cyberataków, których g?ównym narz?dziem jest pot??ny botnet utworzony g?ównie z urz?dze? marki TP-Link. Wed?ug najnowszych analiz, ataki s? przeprowadzane przez hakerów powi?zanych z chi?skim rz?dem i polegaj? na metodzie „password spray” — masowym próbowaniu hase? logowania, co wywiera presj? na systemy obronne chmury Microsoftu.
Botnet o zmiennych IP
Badacze zidentyfikowali sie? jako Botnet-7777, który na szczycie swojej aktywno?ci obejmowa? oko?o 16 000 zainfekowanych urz?dze?, cho? ?rednia liczba aktywnych routerów wynosi?a oko?o 8 000. Co ciekawe, niemal wszystkie urz?dzenia stanowi?ce ten botnet to routery TP-Link, a hakerzy wykorzystuj? ich dynamicznie zmieniane adresy IP, co umo?liwia im wielokrotne próby w?amania bez ryzyka sta?ego zablokowania. Chocia? Azure automatycznie blokuje adres IP po serii nieudanych prób logowania, ró?norodno?? adresów zapewniona przez botnet pozwala hakerom na nieustanne obej?cie tej ochrony.
Microsoft od sierpnia 2023 roku monitoruje ten botnet pod nazw? CovertNetwork-1658. W trakcie dzia?a? obserwacyjnych wykryto, ?e napastnicy uzyskuj? zdalny dost?p do zainfekowanych routerów poprzez port 7777, a nast?pnie tworz? serwer proxy SOCKS5 na porcie TCP 11288, co pozwala im na dalsz? ekspansj? i utrzymanie kontroli nad botnetem.
Tajemnicze metody infekcji
Cho? dzia?ania botnetu zosta?y szczegó?owo opisane, sam sposób infekcji routerów TP-Link wci?? pozostaje zagadk?. Na podstawie obecnych ustale?, wydaje si?, ?e hakerzy przechowuj? swoje narz?dzia wy??cznie w pami?ci RAM urz?dze?, co powoduje, ?e restart routera usuwa z?o?liwe oprogramowanie. Bez zapisywania kodu na trwa?ym no?niku hakerzy uzyskuj? jedynie tymczasowy dost?p do urz?dze?, ale jest on wystarczaj?cy do uruchomienia zdalnych operacji w postaci botnetu.
Microsoft wzmacnia zabezpieczenia, ale zagro?enie pozostaje
Microsoft wprowadzi? szereg ?rodków ochronnych, aby ograniczy? skuteczno?? botnetu, jednak liczba ataków zmniejszy?a si? tylko nieznacznie. Firma podejrzewa, ?e atakuj?cy mog? wkrótce przeprowadzi? nowe modyfikacje w strukturze botnetu, co pozwoli im ponownie przej?? do ofensywy.
Rekomendacje dla u?ytkowników TP-Link i Microsoft Azure
W?a?ciciele routerów TP-Link s? obecnie w trudnej sytuacji, poniewa? przyczyna infekcji wci?? jest nieznana. Mimo to warto okresowo restartowa? urz?dzenia, co — cho? tymczasowo — pozwala usun?? potencjalne z?o?liwe oprogramowanie z pami?ci urz?dzenia.
U?ytkownicy Microsoft Azure mog? natomiast chroni? si?, stosuj?c dwuetapowe uwierzytelnianie (MFA) i silne, unikalne has?a. Szczególnie istotne jest, aby has?a nie kr??y?y po tzw. dark webie, gdzie mog? by? ?atwym celem dla cyberprzest?pców.
