Miles de enrutadores TP-Link pirateados utilizados en ataques de apropiación de cuentas que duran años

Heaven32 Comments
Miles de enrutadores TP-Link pirateados utilizados en ataques de apropiación de cuentas que duran años

Miles de enrutadores TP-Link pirateados utilizados en ataques de apropiación de cuentas que duran años

Los piratas informáticos que trabajan en nombre del gobierno chino están utilizando una botnet de miles de enrutadores, cámaras y otros dispositivos conectados a Internet para realizar ataques de pulverización de contraseñas altamente evasivos contra los usuarios del servicio en la nube Azure de Microsoft, advirtió la compañía el jueves.

La red maliciosa, formada casi en su totalidad por enrutadores TP-Link, fue documentada por primera vez en octubre de 2023 por un investigador que la denominó Botnet-7777. La colección geográficamente dispersa de más de 16.000 dispositivos comprometidos en su punto máximo recibió su nombre porque expone su malware malicioso en el puerto 7777.

Compromiso de cuenta a escala

En julio y nuevamente en agosto de este año, investigadores de seguridad de Serbia y Equipo de Gales informó que la botnet todavía estaba operativa. Los tres informes dijeron que Botnet-7777 se estaba utilizando para realizar hábilmente la pulverización de contraseñas, una forma de ataque que envía una gran cantidad de intentos de inicio de sesión desde muchas direcciones IP diferentes. Debido a que cada dispositivo individual limita los intentos de inicio de sesión, la campaña de apropiación de cuentas cuidadosamente coordinada es difícil de detectar por parte del servicio objetivo.

El jueves, Microsoft reportado que CovertNetwork-1658, el nombre que Microsoft usa para rastrear la botnet, está siendo utilizado por múltiples actores de amenazas chinos en un intento de comprometer cuentas de Azure específicas. La compañía dijo que los ataques son “altamente evasivos” porque la botnet (ahora estimada en alrededor de 8.000 en promedio) se esfuerza por ocultar la actividad maliciosa.

“Cualquier actor de amenazas que utilice la infraestructura CovertNetwork-1658 podría llevar a cabo campañas de pulverización de contraseñas a mayor escala y aumentar en gran medida la probabilidad de comprometer con éxito las credenciales y el acceso inicial a múltiples organizaciones en un corto período de tiempo”, escribieron los funcionarios de Microsoft. “Esta escala, combinada con la rápida rotación operativa de credenciales comprometidas entre CovertNetwork-1658 y los actores de amenazas chinos, permite el potencial de compromisos de cuentas en múltiples sectores y regiones geográficas.

Algunas de las características que dificultan la detección son:

  • El uso de direcciones IP SOHO comprometidas
  • El uso de un conjunto rotativo de direcciones IP en un momento dado. Los actores de amenazas tenían miles de direcciones IP disponibles a su disposición. El tiempo de actividad promedio de un nodo CovertNetwork-1658 es de aproximadamente 90 días.
  • El proceso de pulverización de contraseñas de bajo volumen; por ejemplo, la supervisión de múltiples intentos fallidos de inicio de sesión desde una dirección IP o una cuenta no detectará esta actividad.