Microsoft недавно сообщила о новой угрозе, исходящей от китайских хакеров, которые используют обширную сеть из заражённых маршрутизаторов TP-Link и других подключённых к интернету устройств для атак на пользователей облачного сервиса Azure. Эта сеть, известная как CovertNetwork-1658, активно применяет атаки типа Password-Spraying – попытки подобрать пароли путём массовых входов с разных IP-адресов, что позволяет обходить системы безопасности.
Сеть CovertNetwork-1658, включающая до 16 000 взломанных устройств, была впервые обнаружена исследователями в октябре 2023 года. Особенностью сети является использование порта 7777 для управления заражёнными устройствами, что и стало причиной названия Botnet-7777. По данным Microsoft, сеть используется несколькими китайскими группами хакеров для компрометации учётных записей в Azure, что создаёт серьёзную угрозу для безопасности в разных секторах.
По оценкам специалистов, CovertNetwork-1658 использует сотни IP-адресов с коротким периодом активности – около 90 дней. Это затрудняет обнаружение атак, поскольку каждый IP-адрес совершает лишь ограниченное количество попыток входа, что снижает вероятность выявления.
Важным компонентом этой атаки является поддержка инфраструктуры ботнета, которая позволяет увеличивать вероятность успешного взлома учётных записей. Microsoft заявила, что многие скомпрометированные данные мгновенно передаются между CovertNetwork-1658 и аффилированными хакерскими группами, такими как Storm-0940. Эта группа нацеливается на учреждения Северной Америки и Европы, в том числе на аналитические центры, правительственные и оборонные структуры.
Для проникновения в сети злоумышленники используют боковое перемещение по сети после получения доступа к одной из учётных записей, что позволяет устанавливать дополнительные вредоносные программы и эксфильтрировать данные.
Microsoft также обратила внимание на трудности с обнаружением таких атак. Основные методы обхода систем безопасности включают:
- использование скомпрометированных IP-адресов домашних маршрутизаторов;
- ротацию IP-адресов, которая создаёт иллюзию множества разных источников;
- ограниченные по объёму попытки подбора паролей, чтобы не вызвать подозрений у систем мониторинга.
В последнее время активность CovertNetwork-1658 снизилась, однако это не указывает на прекращение её деятельности. Microsoft считает, что сеть расширяет свою инфраструктуру, изменяя цифровые отпечатки для обхода обнаруженных ранее мер защиты.
Специалисты рекомендуют периодически перезагружать устройства, так как большинство из них не сохраняют вредоносное ПО после перезапуска. Однако это не предотвращает их повторное заражение.