Microsoft ha recentemente lanciato un allarme riguardo a un’ondata di attacchi informatici, provenienti da hacker affiliati al governo cinese, che sfruttano una botnet composta da migliaia di dispositivi connessi a Internet per effettuare attacchi di “password spraying” contro gli utenti del servizio cloud Azure.

L’FBI ha smantellato una colossale botnet russa prima che potesse fare danni L’FBI ha smantellato una colossale botnet russa prima che potesse fare danni

Questo tipo di attacco si basa su una tecnica di forza bruta a bassa intensità, in cui vengono provate molte combinazioni di password da diversi indirizzi IP, rendendo difficile il rilevamento. La botnet, denominata Botnet-7777 e nota a Microsoft come CovertNetwork-1658, è composta in gran parte da router TP-Link compromessi e sfrutta la porta 7777 per esporre il suo malware.

Nel corso di quest’anno, i ricercatori di sicurezza hanno individuato più volte questa botnet in attività. La particolarità di Botnet-7777, scoperta per la prima volta nell’ottobre 2023, risiede nella sua capacità di coordinare login multipli provenienti da diverse IP, limitando gli accessi a bassa intensità da ciascun dispositivo e sfuggendo così ai sistemi di sicurezza. Microsoft ha osservato che il gruppo Storm-0940, uno dei principali utilizzatori della botnet, ha obiettivi specifici come organizzazioni governative, think tank e ONG in Nord America ed Europa. Una volta ottenuto l’accesso agli account Azure presi di mira, i cybercriminali utilizzano le credenziali compromesse per infiltrarsi ulteriormente nelle reti e sottrarre dati sensibili, oltre a installare software per il controllo remoto.

Nonostante la gravità della minaccia, Microsoft non ha fornito istruzioni specifiche su come i proprietari di router TP-Link e altri dispositivi colpiti possano rilevare o prevenire queste infezioni. Alcuni esperti suggeriscono di riavviare periodicamente i dispositivi per rimuovere il malware temporaneamente, poiché molti di questi dispositivi non sono in grado di conservare il malware dopo un riavvio.