Masz Wi-Fi? To jest rzecz do natychmiastowego sprawdzenia
Ogromna sieć sprzętów połączonych z internetem z Chin dokonuje masowych ataków na użytkowników usług Microsoft Azure. Hakerzy pracują na usługach tamtejszego rządu i używają routerów jednej popularnej marki.

Trudne do wykrycia, dotkliwe ataki
Sieć botów zwana Botnet-7777 składa się z 16 tysięcy zhakowanych urządzeń, z czego głównie są to routery TP-Link rozproszone po całym świecie. Swoją nazwę zawdzięcza portowi 7777, który jest atakowany przez tę sieć, gdzie hakerzy chcą zostawić złośliwe oprogramowanie.
Rodzaj ataku, jaki wykonuje Botnet-7777 to tzw. "password spraying", polegający na wysyłaniu ogromnej liczby żądań logowania się przy użyciu różnych adresów IP do różnych serwisów (w tym przypadku używających infrastruktury Microsoft Azure). Z racji tego, że każde urządzenie w sieci ma specjalnie ograniczoną liczbę prób zalogowania, zmyślnie skoordynowany atak trudno wykryć, bo na pierwszy rzut oka nie wydaje się, że dzieje się coś podejrzanego.



Botnet-7777 został pierwotnie wykryty w październiku 2023 r., ale najnowsze badania (zespołów ekspertów bezpieczeństwa z Serbii i Walii) z sierpnia 2024 r. potwierdzają, że nadal on funkcjonuje. W kampanię cyberataków zaangażowanych jest wiele grup hakerskich, które mogą wymieniać się ze sobą informacjami i koordynować ataki na wielką skalę na całym świecie.
Na celowniku Botnetu są przede wszystkim różne duże organizacje (w tym rządowe i pozarządowe, firmy prawnicze oraz przemysł obronny), a Microsoft (który również bada sprawę) ostrzega, że atakujący mogą zyskać dostęp do wielu firm w krótkim odstępie czasu.
Microsoft wyszczególnił trzy czynniki, które sprawiają, że sieć botów jest trudna do wykrycia, a są to:
- używanie zhakowanych komputerów ze zdalnym dostępem do sieci korporacyjnych
- tysiące adresów IP poddawanych rotacji oraz
- praktyka powolnego stosowania wielu prób logowania się pod jedno konto, która nie jest wykrywana przez systemy zabezpieczeń
Atakujący po uzyskaniu dostępu do sieci starają się instalować tzw. trojany dające zdalny dostęp, a następnie infiltrować dalej korporacyjną sieć.
Nieznany jest mechanizm początkowej infekcji, a Microsoft nie udzielił porad jak użytkownicy routerów TP-Link mogą zapobiec infekcji lub je wykryć. W przeszłości eksperci radzili, żeby cyklicznie resetować tego typu urządzenia, gdyż złośliwe oprogramowanie nie jest w stanie zostawiać trwałego kodu, a przez to nie przetrwa restartu. Warto zwrócić uwagę, że o ile możemy się pozbyć w ten sposób złośliwego oprogramowania, to jednak nic nie stoi na przeszkodzie, aby hakerzy ponownie nas zaatakowali.