Тисячі зламаних роутерів TP-Link таємно використовувалися в атаках роками

Microsoft повідомила про виявлення серйозної загрози безпеці, пов’язаної з тисячами скомпрометованих роутерів TP-Link, які використовуються в масових атаках з підбором паролів проти користувачів хмарного сервісу Azure.

Що ще відомо

Мережа, яку Microsoft називає CovertNetwork-1658, налічує понад 8000 заражених пристроїв і в основному націлена на облікові записи Azure у Північній Америці та Європі. Ця інфраструктура, також відома як Botnet-7777, застосовує унікальну тактику з використанням малих обсягів спроб входу з різних IP-адрес, що дозволяє обходити стандартні методи виявлення, відзначають дослідники.

Одна з найбільш активних груп, яка використовує цей ботнет, відома як Storm-0940, націлена на урядові організації, аналітичні центри та оборонні компанії. Зловмисники використовують вкрадені облікові дані для доступу, переміщаються через мережу та встановлюють віддалені інструменти для спостереження. Пристрої в ботнеті зберігають стійкість приблизно на 90 днів і змінюють IP-адреси, що ще більше ускладнює їх виявлення.

Microsoft не надала конкретних рекомендацій для користувачів роутерів TP-Link, але експерти зазначають, що періодичне перезавантаження може тимчасово видалити зловмисне програмне забезпечення, яке не зберігається після перезапуску.