Přejít k hlavnímu obsahu

Tisíce domácích routerů TP-Link posloužily jako nástroj čínských kyberútoků

Pavel Trousil 05.11.2024
info ikonka
Zdroj: Vygenerováno v Midjourney

Společnost Microsoft odhalila rozsáhlou síť napadených routerů TP-Link, kterou čínští hackeři využívali ke skrytým kybernetickým útokům. Podle nové zprávy Microsoft Threat Intelligence byla tato škodlivá operace objevena v srpnu 2023 a využívala průměrně 8 000 kompromitovaných zařízení.

Kapitoly článku

Botnet, označovaný jako "CovertNetwork-1658" (některými výzkumníky také nazývaný "xlogin" nebo "Quad7"), se skládal převážně z napadených domácích a malých kancelářských (SOHO) routerů značky TP-Link. Hackeři využívali IP adresy legitimních uživatelů k maskování své činnosti a vyhýbání se detekci.

Sofistikované útoky s minimální stopou

Útočníci, především skupina známá jako Storm-0940, se zaměřovali na think-tanky, vládní instituce a další organizace v Severní Americe a Evropě. Jejich taktika spočívala v pokusech o prolomení hesel, přičemž v cca 80 % případů provedli pouze jeden pokus o přihlášení na účet za den. Napadené routery téměř nikdy neuskutečnily více než tři pokusy o neoprávněný přístup denně.
"Útočníci měli k dispozici tisíce IP adres. Průměrná doba provozu jednoho uzlu sítě CovertNetwork-1658 byla přibližně 90 dní," uvádí zpráva Microsoftu.
 

Mohlo by vás zajímat

 Aktuální stav a varování

Po zveřejnění informací o této síti její aktivita výrazně poklesla na pouhé stovky koncových bodů. Microsoft však upozorňuje, že síť je stále aktivní a pravděpodobně přechází na novou infrastrukturu. Koncem října 2023 byl dokonce zaznamenán nárůst škodlivých aktivit.

"Kterýkoli útočník využívající infrastrukturu CovertNetwork-1658 by mohl provádět rozsáhlé útoky na hesla a významně zvýšit pravděpodobnost úspěšného kompromitování přihlašovacích údajů a získání počátečního přístupu k více organizacím v krátkém čase," varují výzkumníci z Redmontu.
 

Mohlo by vás zajímat

Doporučená bezpečnostní opatření

Microsoft vyzývá organizace k posílení kybernetické bezpečnosti prostřednictvím:

  • Zavedení vícefaktorové autentizace
  • Vypnutí zastaralých autentizačních metod
  • Přechodu na bezheslovou autentizaci

Útočníci po získání počátečního přístupu typicky skenují síť, používají nástroje pro kradení přihlašovacích údajů, pohybují se laterálně v síti, instalují proxy nástroje a vzdálené přístupové trojské koně pro zajištění perzistence a pokoušejí se o exfiltraci dat.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme