Od ponad roku Microsoft Azure zmaga się z serią cyberataków, których głównym narzędziem jest potężny botnet utworzony głównie z urządzeń marki TP-Link. Według najnowszych analiz, ataki są przeprowadzane przez hakerów powiązanych z chińskim rządem i polegają na metodzie „password spray” — masowym próbowaniu haseł logowania, co wywiera presję na systemy obronne chmury Microsoftu.
Botnet o zmiennych IP
Badacze zidentyfikowali sieć jako Botnet-7777, który na szczycie swojej aktywności obejmował około 16 000 zainfekowanych urządzeń, choć średnia liczba aktywnych routerów wynosiła około 8 000. Co ciekawe, niemal wszystkie urządzenia stanowiące ten botnet to routery TP-Link, a hakerzy wykorzystują ich dynamicznie zmieniane adresy IP, co umożliwia im wielokrotne próby włamania bez ryzyka stałego zablokowania. Chociaż Azure automatycznie blokuje adres IP po serii nieudanych prób logowania, różnorodność adresów zapewniona przez botnet pozwala hakerom na nieustanne obejście tej ochrony.
Microsoft od sierpnia 2023 roku monitoruje ten botnet pod nazwą CovertNetwork-1658. W trakcie działań obserwacyjnych wykryto, że napastnicy uzyskują zdalny dostęp do zainfekowanych routerów poprzez port 7777, a następnie tworzą serwer proxy SOCKS5 na porcie TCP 11288, co pozwala im na dalszą ekspansję i utrzymanie kontroli nad botnetem.
Tajemnicze metody infekcji
Choć działania botnetu zostały szczegółowo opisane, sam sposób infekcji routerów TP-Link wciąż pozostaje zagadką. Na podstawie obecnych ustaleń, wydaje się, że hakerzy przechowują swoje narzędzia wyłącznie w pamięci RAM urządzeń, co powoduje, że restart routera usuwa złośliwe oprogramowanie. Bez zapisywania kodu na trwałym nośniku hakerzy uzyskują jedynie tymczasowy dostęp do urządzeń, ale jest on wystarczający do uruchomienia zdalnych operacji w postaci botnetu.
Microsoft wzmacnia zabezpieczenia, ale zagrożenie pozostaje
Microsoft wprowadził szereg środków ochronnych, aby ograniczyć skuteczność botnetu, jednak liczba ataków zmniejszyła się tylko nieznacznie. Firma podejrzewa, że atakujący mogą wkrótce przeprowadzić nowe modyfikacje w strukturze botnetu, co pozwoli im ponownie przejść do ofensywy.
Rekomendacje dla użytkowników TP-Link i Microsoft Azure
Właściciele routerów TP-Link są obecnie w trudnej sytuacji, ponieważ przyczyna infekcji wciąż jest nieznana. Mimo to warto okresowo restartować urządzenia, co — choć tymczasowo — pozwala usunąć potencjalne złośliwe oprogramowanie z pamięci urządzenia.
Użytkownicy Microsoft Azure mogą natomiast chronić się, stosując dwuetapowe uwierzytelnianie (MFA) i silne, unikalne hasła. Szczególnie istotne jest, aby hasła nie krążyły po tzw. dark webie, gdzie mogą być łatwym celem dla cyberprzestępców.