Microsoft ha recentemente lanciato un allarme riguardo a un’ondata di attacchi informatici, provenienti da hacker affiliati al governo cinese, che sfruttano una botnet composta da migliaia di dispositivi connessi a Internet per effettuare attacchi di “password spraying” contro gli utenti del servizio cloud Azure.
Questo tipo di attacco si basa su una tecnica di forza bruta a bassa intensità, in cui vengono provate molte combinazioni di password da diversi indirizzi IP, rendendo difficile il rilevamento. La botnet, denominata Botnet-7777 e nota a Microsoft come CovertNetwork-1658, è composta in gran parte da router TP-Link compromessi e sfrutta la porta 7777 per esporre il suo malware.
Nel corso di quest’anno, i ricercatori di sicurezza hanno individuato più volte questa botnet in attività. La particolarità di Botnet-7777, scoperta per la prima volta nell’ottobre 2023, risiede nella sua capacità di coordinare login multipli provenienti da diverse IP, limitando gli accessi a bassa intensità da ciascun dispositivo e sfuggendo così ai sistemi di sicurezza. Microsoft ha osservato che il gruppo Storm-0940, uno dei principali utilizzatori della botnet, ha obiettivi specifici come organizzazioni governative, think tank e ONG in Nord America ed Europa. Una volta ottenuto l’accesso agli account Azure presi di mira, i cybercriminali utilizzano le credenziali compromesse per infiltrarsi ulteriormente nelle reti e sottrarre dati sensibili, oltre a installare software per il controllo remoto.
Nonostante la gravità della minaccia, Microsoft non ha fornito istruzioni specifiche su come i proprietari di router TP-Link e altri dispositivi colpiti possano rilevare o prevenire queste infezioni. Alcuni esperti suggeriscono di riavviare periodicamente i dispositivi per rimuovere il malware temporaneamente, poiché molti di questi dispositivi non sono in grado di conservare il malware dopo un riavvio.