Botnet został nazwany “CovertNetwork-1658”, występuje również pod określeniami “xlogin” oraz “Quad7 (7777)”. Znany jest już od jakiegoś czasu, nadal działa i co najgorsze – prawdopodobnie zostaje poszerzany o nową infrastrukturę. Aktywnie kradnie dane uwierzytelniające wielu klientom Microsoft od sierpnia 2023 roku.
Dlaczego to właśnie routery TP-Link są podatne?
“CovertNetwork-1658” to przykład trwającej gry w kotka i myszkę między specjalistami ds. cyberbezpieczeństwa a podmiotami stanowiącymi zagrożenie. Wykorzystywanie zainfekowanych urządzeń jako części botnetu podkreśla również znaczenie zabezpieczania urządzeń IoT i regularnej aktualizacji oprogramowania sprzętowego routerów oraz innego sprzętu sieciowego. Botnet wykorzystują tysiące routerów, kamer i innych urządzeń podłączonych do internetu w małych biurach i domach prywatnych. Jak szacują eksperci, w szczytowym momencie w botnecie było ponad 16 000 urządzeń, z których większość to routery TP-Link.
Nazwa botnetu pochodzi z systemu klasyfikacji Microsoftu – “CovertNetwork” odnosi się do zbioru adresów IP wyjścia, składających się z zainfekowanych lub wydzierżawionych urządzeń, które mogą być używane przez jednego lub więcej aktorów zagrożeń. Hakerzy wykorzystują lukę w zabezpieczeniach routerów, aby uzyskać możliwość zdalnego wykonywania kodu, chociaż konkretna metoda wykorzystania jest nadal badana. Po uzyskaniu dostępu szykują router do operacji rozpylania haseł. Obejmuje to pobieranie m.in. backdoora “xlogin” ze zdalnego serwera FTP, uruchamianie powłoki poleceń kontrolowanej dostępem na porcie TCP 7777 oraz konfigurowanie serwera SOCKS5 na porcie TCP 11288.
Czytaj też: Przenośny router ZTE U50 5G w Plusie – sprawdziłem, jak sobie radzi
Ataki typu “password spraying” są przeprowadzane za pośrednictwem sieci proxy. W około 80% CovertNetwork-1658 podejmuje tylko jedną próbę logowania na konto dziennie, co utrudnia wykrycie go za pomocą tradycyjnych środków bezpieczeństwa. Średnio Microsoft zaobserwował około 8000 naruszonych urządzeń aktywnie zaangażowanych w sieć CovertNetwork-1658 przez cały czas, przy czym około 20% z nich wykonywało “password spraying”.
Prawdopodobnie za CovertNetwork-1658 stoją chińscy hakerzy. Podejrzewana jest grupa “Storm-0940”. Skala tej operacji jest szczególnie niepokojąca, ponieważ wykorzystanie infrastruktury botnetu pozwala na łatwe przeprowadzenie masowych kampanii, co – w połączeniu z szybką wymianą naruszonych danych uwierzytelniających między CovertNetwork-1658 a hakerami – oznacza, że konta mogą zostać szybko naruszone w wielu sektorach i regionach geograficznych.
Microsoft nie udzielił konkretnych porad, w jaki sposób użytkownicy routerów TP-Link i innych dotkniętych urządzeń mogą zapobiegać infekcjom lub je wykrywać. Ale niektórzy eksperci ds. bezpieczeństwa sugerują, że okresowe ponowne uruchamianie tych urządzeń może pomóc w ich tymczasowej dezynfekcji. Zatem jeśli korzystasz z routera TP-Link, na wszelki wypadek zalecam go na chwilę wyłączyć z gniazdka, a potem włączyć ponownie. Lepsze to niż nic.