Atak na routery TP-Link. Zainfekowano tysiące urządzeń

Microsoft ujawnił istnienie CovertNetwork-1658 – rozbudowanej, ukrytej sieci botnetów, wykorzystywanej przez chińskich hakerów do przeprowadzania wyrafinowanych ataków typu „password spray” na klientów platformy Microsoft Azure.

Sieć zainfekowanych urządzeń: routery, kamery i urządzenia IoT na celowniku

Hakerzy zainfekowali tysiące urządzeń internetowych – od routerów, przez kamery, po różne sprzęty Internetu Rzeczy (IoT) – głównie w małych biurach i domowych środowiskach SOHO. W szczytowym momencie sieć botnetów CovertNetwork-1658 składała się z ponad 16 tysięcy urządzeń, spośród których zdecydowaną większość stanowiły routery TP-Link. Zdaniem Microsoftu, botnet pozostaje aktywny i średnio około 8 tysięcy urządzeń w danym momencie angażuje się w zainfekowane działania sieci.

Od sierpnia 2023 roku ta sieć, zbudowana na bazie zainfekowanych urządzeń internetowych, skutecznie kradnie dane uwierzytelniające setkom klientów Microsoftu, budząc obawy o bezpieczeństwo i ochronę danych w skali globalnej.

Hakerzy wykorzystują znaną lukę w zabezpieczeniach routerów, umożliwiającą zdalne wykonanie kodu na urządzeniach docelowych. Choć konkretna technika ataku nie została jeszcze dokładnie wyjaśniona, po uzyskaniu dostępu przestępcy instalują na urządzeniu różne złośliwe narzędzia, które pozwalają im na dalsze działania. Wśród nich znajduje się backdoor xlogin oraz oprogramowanie pozwalające na utworzenie serwera SOCKS5 i otwarcie portów umożliwiających kontrolę nad urządzeniem z zewnątrz. Dzięki temu botnet działa jako zaawansowana sieć proxy, pozwalając hakerom na przeprowadzanie rozproszonych ataków typu „password spray” – w których próbuje się przełamać zabezpieczenia haseł na kontach użytkowników, atakując je pojedynczo i stopniowo, co utrudnia wykrycie.

Jedną z kluczowych cech CovertNetwork-1658 jest sposób, w jaki hakerzy unikają detekcji. Około 80% prób logowania do atakowanych kont jest wykonywanych w pojedynczym cyklu dziennym z różnych urządzeń, co sprawia, że działania wyglądają jak rutynowy ruch sieciowy i są trudniejsze do wychwycenia przez systemy bezpieczeństwa. Przeprowadzane ataki są przy tym subtelne, a adresy IP używane do ataków ciągle się zmieniają – CovertNetwork-1658 dynamicznie korzysta z różnych adresów IP z przejętych urządzeń, co skutecznie utrudnia ich blokowanie.

Microsoft potwierdził, że ataki przeprowadza grupa Storm-0940, blisko powiązana z chińskimi przestępcami. Obserwacje firmy wskazują na współpracę między grupą a siecią CovertNetwork-1658, z której pochodzą poświadczenia uzyskane z innych przejętych urządzeń i systemów. Storm-0940 wykorzystuje te poświadczenia do rozszerzania swoich działań w zainfekowanych systemach, stosując narzędzia do skanowania i wykradania danych oraz instalując oprogramowanie, które pozwala na dalszą kontrolę nad infrastrukturą ofiar. To pozwala im na swobodne poruszanie się w ramach sieci ofiary i dalszą eskalację ataków.

Potencjalne zagrożenie dla sektora korporacyjnego i prywatnego

Skala tej operacji budzi szczególne zaniepokojenie. Zdaniem ekspertów, każdy haker korzystający z infrastruktury CovertNetwork-1658 może przeprowadzać masowe kampanie „password spray”, co oznacza realne ryzyko dla kont korporacyjnych i prywatnych użytkowników w wielu sektorach i regionach świata. Wymiana naruszonych poświadczeń pomiędzy CovertNetwork-1658 i grupą Storm-0940 jest bardzo szybka, co powoduje, że ataki mogą być dynamicznie powielane i przeprowadzane na dużą skalę.

Microsoft zaznacza, że mimo ujawnienia i wykrycia działalności CovertNetwork-1658, hakerzy nadal działają, wykorzystując nową infrastrukturę oraz stosując metody zmiany identyfikatorów, co pozwala im uniknąć detekcji przez systemy monitorujące. Zgłaszane przypadki skłoniły Microsoft do bezpośredniego powiadomienia narażonych klientów. Z kolei dostawcy zabezpieczeń, tacy jak Sekoia i Team Cymru, monitorują rozwój sytuacji i współpracują przy wdrażaniu rozwiązań mających na celu ograniczenie działalności botnetu.

Jakie kroki mogą podjąć użytkownicy?

Microsoft nie przedstawił szczegółowych zaleceń dotyczących ochrony urządzeń, jednak eksperci zalecają właścicielom urządzeń takich jak routery TP-Link regularne aktualizowanie oprogramowania oraz okresowe ponowne uruchamianie urządzeń, co może czasowo pomóc w usunięciu niektórych form infekcji. Microsoft i firmy zabezpieczające apelują także o monitorowanie ruchu sieciowego oraz regularne zmiany haseł, zwłaszcza na kontach chronionych.