Bezpieczeństwo

Masz Wi-Fi? To jest rzecz do natychmiastowego sprawdzenia

Ogromna sieć sprzętów połączonych z internetem z Chin dokonuje masowych ataków na użytkowników usług Microsoft Azure. Hakerzy pracują na usługach tamtejszego rządu i używają routerów jednej popularnej marki.

Jakub Krawczyński (KubaKraw)
JAKUB KRAWCZYńSKI KUBAKRAW 02 LIS 2024
6
Udostępnij na fb
Udostępnij na X
Masz Wi-Fi? To jest rzecz do natychmiastowego sprawdzenia

Trudne do wykrycia, dotkliwe ataki

Sieć botów zwana Botnet-7777 składa się z 16 tysięcy zhakowanych urządzeń, z czego głównie są to routery TP-Link rozproszone po całym świecie. Swoją nazwę zawdzięcza portowi 7777, który jest atakowany przez tę sieć, gdzie hakerzy chcą zostawić złośliwe oprogramowanie.

Dalsza część tekstu pod wideo

Rodzaj ataku, jaki wykonuje Botnet-7777 to tzw. "password spraying", polegający na wysyłaniu ogromnej liczby żądań logowania się przy użyciu różnych adresów IP do różnych serwisów (w tym przypadku używających infrastruktury Microsoft Azure). Z racji tego, że każde urządzenie w sieci ma specjalnie ograniczoną liczbę prób zalogowania, zmyślnie skoordynowany atak trudno wykryć, bo na pierwszy rzut oka nie wydaje się, że dzieje się coś podejrzanego.

Wybrane okazje dla Ciebie
Kabel USB - USB Typ-B UNITEK 3 m
Kabel USB - USB Typ-B UNITEK 3 m
-4.99 zł
18.99 zł - najniższa cena
Kup teraz 14 zł
Krem VERDELOVE Izoze Eye 15 ml
Krem VERDELOVE Izoze Eye 15 ml
0 zł
99.99 zł - najniższa cena
Kup teraz 99.99 zł
Płyn do mycia naczyń PUR Sekrety Pielęgnacji Aloes 450 ml
Płyn do mycia naczyń PUR Sekrety Pielęgnacji Aloes 450 ml
0 zł
5.99 zł - najniższa cena
Kup teraz 5.99 zł
Advertisement

Botnet-7777 został pierwotnie wykryty w październiku 2023 r., ale najnowsze badania (zespołów ekspertów bezpieczeństwa z Serbii i Walii) z sierpnia 2024 r. potwierdzają, że nadal on funkcjonuje. W kampanię cyberataków zaangażowanych jest wiele grup hakerskich, które mogą wymieniać się ze sobą informacjami i koordynować ataki na wielką skalę na całym świecie.

Na celowniku Botnetu są przede wszystkim różne duże organizacje (w tym rządowe i pozarządowe, firmy prawnicze oraz przemysł obronny), a Microsoft (który również bada sprawę) ostrzega, że atakujący mogą zyskać dostęp do wielu firm w krótkim odstępie czasu.

Microsoft wyszczególnił trzy czynniki, które sprawiają, że sieć botów jest trudna do wykrycia, a są to:
- używanie zhakowanych komputerów ze zdalnym dostępem do sieci korporacyjnych
- tysiące adresów IP poddawanych rotacji oraz
- praktyka powolnego stosowania wielu prób logowania się pod jedno konto, która nie jest wykrywana przez systemy zabezpieczeń

Atakujący po uzyskaniu dostępu do sieci starają się instalować tzw. trojany dające zdalny dostęp, a następnie infiltrować dalej korporacyjną sieć.

Nieznany jest mechanizm początkowej infekcji, a Microsoft nie udzielił porad jak użytkownicy routerów TP-Link mogą zapobiec infekcji lub je wykryć. W przeszłości eksperci radzili, żeby cyklicznie resetować tego typu urządzenia, gdyż złośliwe oprogramowanie nie jest w stanie zostawiać trwałego kodu, a przez to nie przetrwa restartu. Warto zwrócić uwagę, że o ile możemy się pozbyć w ten sposób złośliwego oprogramowania, to jednak nic nie stoi na przeszkodzie, aby hakerzy ponownie nas zaatakowali.

Zobacz: Potężny atak, miliony euro strat. Nie uwierzysz, co było narzędziem
Zobacz: Masz Wi-Fi? To jest pilna rzecz do zrobienia

Image
telepolis
botnet cyberatak tp link
Zródła zdjęć: Proxima Studio / Shutterstock.com
Źródła tekstu: Ars Technica