Botnet, označovaný jako "CovertNetwork-1658" (některými výzkumníky také nazývaný "xlogin" nebo "Quad7"), se skládal převážně z napadených domácích a malých kancelářských (SOHO) routerů značky TP-Link. Hackeři využívali IP adresy legitimních uživatelů k maskování své činnosti a vyhýbání se detekci.
Sofistikované útoky s minimální stopou
Útočníci, především skupina známá jako Storm-0940, se zaměřovali na think-tanky, vládní instituce a další organizace v Severní Americe a Evropě. Jejich taktika spočívala v pokusech o prolomení hesel, přičemž v cca 80 % případů provedli pouze jeden pokus o přihlášení na účet za den. Napadené routery téměř nikdy neuskutečnily více než tři pokusy o neoprávněný přístup denně.
"Útočníci měli k dispozici tisíce IP adres. Průměrná doba provozu jednoho uzlu sítě CovertNetwork-1658 byla přibližně 90 dní," uvádí zpráva Microsoftu.
Mohlo by vás zajímat
Aktuální stav a varování
Po zveřejnění informací o této síti její aktivita výrazně poklesla na pouhé stovky koncových bodů. Microsoft však upozorňuje, že síť je stále aktivní a pravděpodobně přechází na novou infrastrukturu. Koncem října 2023 byl dokonce zaznamenán nárůst škodlivých aktivit.
"Kterýkoli útočník využívající infrastrukturu CovertNetwork-1658 by mohl provádět rozsáhlé útoky na hesla a významně zvýšit pravděpodobnost úspěšného kompromitování přihlašovacích údajů a získání počátečního přístupu k více organizacím v krátkém čase," varují výzkumníci z Redmontu.
Doporučená bezpečnostní opatření
Microsoft vyzývá organizace k posílení kybernetické bezpečnosti prostřednictvím:
- Zavedení vícefaktorové autentizace
- Vypnutí zastaralých autentizačních metod
- Přechodu na bezheslovou autentizaci
Útočníci po získání počátečního přístupu typicky skenují síť, používají nástroje pro kradení přihlašovacích údajů, pohybují se laterálně v síti, instalují proxy nástroje a vzdálené přístupové trojské koně pro zajištění perzistence a pokoušejí se o exfiltraci dat.