Microsoft повідомила про виявлення серйозної загрози безпеці, пов’язаної з тисячами скомпрометованих роутерів TP-Link, які використовуються в масових атаках з підбором паролів проти користувачів хмарного сервісу Azure.
Що ще відомо
Мережа, яку Microsoft називає CovertNetwork-1658, налічує понад 8000 заражених пристроїв і в основному націлена на облікові записи Azure у Північній Америці та Європі. Ця інфраструктура, також відома як Botnet-7777, застосовує унікальну тактику з використанням малих обсягів спроб входу з різних IP-адрес, що дозволяє обходити стандартні методи виявлення, відзначають дослідники.
Одна з найбільш активних груп, яка використовує цей ботнет, відома як Storm-0940, націлена на урядові організації, аналітичні центри та оборонні компанії. Зловмисники використовують вкрадені облікові дані для доступу, переміщаються через мережу та встановлюють віддалені інструменти для спостереження. Пристрої в ботнеті зберігають стійкість приблизно на 90 днів і змінюють IP-адреси, що ще більше ускладнює їх виявлення.
Microsoft не надала конкретних рекомендацій для користувачів роутерів TP-Link, але експерти зазначають, що періодичне перезавантаження може тимчасово видалити зловмисне програмне забезпечення, яке не зберігається після перезапуску.