Hakerzy wykorzystują routery TP-Link do ataków na Microsoft Azure

Chińscy hakerzy wykorzystują botnet składający się głównie z routerów TP-Link do przeprowadzania ataków na chmurę Microsoft Azure, stosując metodę „password spray” do masowego łamania haseł. Mimo że Microsoft monitoruje aktywność botnetu i wdraża zabezpieczenia, zmienne adresy IP zainfekowanych urządzeń utrudniają trwałe zablokowanie ataków.

źródło: Unplash
Kuba Kowalczyk
3 min

Od ponad roku Microsoft Azure zmaga się z serią cyberataków, których głównym narzędziem jest potężny botnet utworzony głównie z urządzeń marki TP-Link. Według najnowszych analiz, ataki są przeprowadzane przez hakerów powiązanych z chińskim rządem i polegają na metodzie „password spray” — masowym próbowaniu haseł logowania, co wywiera presję na systemy obronne chmury Microsoftu.

Botnet o zmiennych IP

Badacze zidentyfikowali sieć jako Botnet-7777, który na szczycie swojej aktywności obejmował około 16 000 zainfekowanych urządzeń, choć średnia liczba aktywnych routerów wynosiła około 8 000. Co ciekawe, niemal wszystkie urządzenia stanowiące ten botnet to routery TP-Link, a hakerzy wykorzystują ich dynamicznie zmieniane adresy IP, co umożliwia im wielokrotne próby włamania bez ryzyka stałego zablokowania. Chociaż Azure automatycznie blokuje adres IP po serii nieudanych prób logowania, różnorodność adresów zapewniona przez botnet pozwala hakerom na nieustanne obejście tej ochrony.

Microsoft od sierpnia 2023 roku monitoruje ten botnet pod nazwą CovertNetwork-1658. W trakcie działań obserwacyjnych wykryto, że napastnicy uzyskują zdalny dostęp do zainfekowanych routerów poprzez port 7777, a następnie tworzą serwer proxy SOCKS5 na porcie TCP 11288, co pozwala im na dalszą ekspansję i utrzymanie kontroli nad botnetem.

REKLAMA

Tajemnicze metody infekcji

Choć działania botnetu zostały szczegółowo opisane, sam sposób infekcji routerów TP-Link wciąż pozostaje zagadką. Na podstawie obecnych ustaleń, wydaje się, że hakerzy przechowują swoje narzędzia wyłącznie w pamięci RAM urządzeń, co powoduje, że restart routera usuwa złośliwe oprogramowanie. Bez zapisywania kodu na trwałym nośniku hakerzy uzyskują jedynie tymczasowy dostęp do urządzeń, ale jest on wystarczający do uruchomienia zdalnych operacji w postaci botnetu.

Microsoft wzmacnia zabezpieczenia, ale zagrożenie pozostaje

Microsoft wprowadził szereg środków ochronnych, aby ograniczyć skuteczność botnetu, jednak liczba ataków zmniejszyła się tylko nieznacznie. Firma podejrzewa, że atakujący mogą wkrótce przeprowadzić nowe modyfikacje w strukturze botnetu, co pozwoli im ponownie przejść do ofensywy.

Rekomendacje dla użytkowników TP-Link i Microsoft Azure

Właściciele routerów TP-Link są obecnie w trudnej sytuacji, ponieważ przyczyna infekcji wciąż jest nieznana. Mimo to warto okresowo restartować urządzenia, co — choć tymczasowo — pozwala usunąć potencjalne złośliwe oprogramowanie z pamięci urządzenia.

Użytkownicy Microsoft Azure mogą natomiast chronić się, stosując dwuetapowe uwierzytelnianie (MFA) i silne, unikalne hasła. Szczególnie istotne jest, aby hasła nie krążyły po tzw. dark webie, gdzie mogą być łatwym celem dla cyberprzestępców.