Microsoft ha annunciato di aver individuato una botnet attiva e sofisticata. Quest’ultima avrebbe sottratto dati dai dispositivi di alcuni clienti su Azure almeno dal mese di agosto 2023. La rete, denominata “CovertNetwork-1658“, ha raggiunto numeri impressionante. Al suo apice, contava oltre 16.000 dispositivi compromessi, la maggior parte dei quali erano gadget IoT appartenenti sia a privati sia a piccole e medie imprese (PMI). Tra cui, numerosi dispositivi erano router TP-Link, seguiti da videocamere e altre apparecchiature di rete. Quest’ultimi rappresentano spesso punti d’accesso vulnerabili per gli hacker nei sistemi aziendali e domestici sotto attacco.
Un nuovo attacco hacker colpisce gli utenti Azure
La botnet sfrutta una specifica vulnerabilità presente nei router. Anche se le modalità dell’attacco non siano ancora del tutto chiare, Microsoft ha potuto verificare che gli hacker sono riusciti a eseguire codice non autorizzato sui dispositivi colpiti. Grazie a tale accesso, i malintenzionati sono stati in grado di scaricare e installare tool e backdoor sui router compromessi. Ciò utilizzando il protocollo FTP. Successivamente, hanno attivato una shell di comando attraverso la porta TCP 7777 e un server SOCKS5 sulla porta 11288. Tale setup permette alla botnet di mantenere il controllo remoto dei dispositivi infetti e di sfruttarli come base per attività malevole senza destare sospetti.
Uno dei principali utilizzi di questa rete di dispositivi compromessi è l’esecuzione di attacchi “password spraying”. Tale tipo di attacco consiste nel tentare di accedere ad account di utenti non compromessi usando combinazioni comuni di nome utente e password rubate. Sfruttando il fatto che molte persone utilizzano la stessa password su più piattaforme, gli hacker possono provare un’enorme quantità di credenziali mantenendo un profilo basso nell’attacco. La presenza di oltre 16.000 dispositivi nella botnet consente loro di evitare le misure di sicurezza più diffuse contro il brute force.
Microsoft attribuisce questa botnet a un gruppo cinese identificato come Xlogin o Quad7. La società di Redmond ha già avvisato i clienti Azure coinvolti riguardo alla violazione. Al momento però non ha ancora fornito istruzioni dettagliate su come mettere in sicurezza i dispositivi colpiti.