Hackers associados ao governo chinês têm usado uma botnet chamada Botnet-7777 para realizar ataques de "password spraying" altamente sofisticados contra usuários do serviço Azure da Microsoft. Esses ataques consistem em tentar diversas combinações de login a partir de milhares de dispositivos comprometidos, como roteadores TP-Link, de forma que cada IP realize poucas tentativas para evitar detecção. A botnet, que já chegou a envolver mais de 16 mil dispositivos, utiliza a porta 7777 para espalhar seu malware, dificultando ainda mais sua identificação.
O password spraying é um método de ataque eficaz porque usa IPs rotativos para lançar diversas tentativas de login, minimizando os sinais tradicionais de alerta, como falhas consecutivas vindas de um único endereço. Essa abordagem evita que as vítimas percebam o ataque, já que cada dispositivo da rede comprometida faz tentativas esporádicas, tornando os ataques difíceis de detectar com sistemas de monitoramento padrão.
Além disso, a botnet utiliza dispositivos conectados em redes domésticas e de pequenos escritórios (SOHO) como base de operações. O tempo médio em que cada dispositivo infectado permanece ativo é de 90 dias antes de ser substituído por novas máquinas comprometidas. A Microsoft aponta que, embora a atividade do Botnet-7777 tenha diminuído recentemente, isso se deve a uma mudança nos métodos usados pelos atacantes, e não à interrupção das operações.
Entre os principais grupos usando essa botnet está o Storm-0940, que se concentra em atacar organizações governamentais, ONGs, escritórios de advocacia e outras entidades na América do Norte e Europa. Após invadirem contas na Azure, os atacantes buscam explorar a rede, roubar dados e instalar trojans de acesso remoto, demonstrando uma coordenação eficiente entre a botnet e grupos de espionagem.
Os atacantes utilizam uma série de etapas para infectar e manter o controle sobre os dispositivos comprometidos. Entre essas ações, incluem-se o download de um backdoor chamado "xlogin", o uso de Telnet para criar um shell de comandos controlado e a configuração de servidores proxy (SOCKS5). Essas medidas não apenas garantem acesso remoto aos dispositivos, mas também permitem a execução de atividades maliciosas sem levantar suspeitas.
Embora a Microsoft não tenha detalhado como usuários de roteadores TP-Link podem prevenir esses ataques, especialistas sugerem que uma solução simples, mas temporária, é reiniciar periodicamente os dispositivos. Isso remove o malware, que normalmente não consegue se reinstalar após um reboot. No entanto, como a reinfecção é possível, medidas adicionais de segurança, como a atualização de firmware e o uso de senhas fortes, são essenciais.
A Botnet-7777 é um exemplo alarmante de como dispositivos domésticos mal protegidos podem ser usados em ataques globais sofisticados. Esse caso destaca a importância de manter equipamentos de rede sempre atualizados e configurados com segurança para evitar que sejam alvos de ataques e utilizados em atividades criminosas.
Fonte: Ars Technica
.%20A%20smartphone%20is%20shown%20with%20a%20suspicious%20text%20message.webp)
Nenhum comentário:
Postar um comentário
Não é preciso ser criativo. Não é preciso ser técnico. Pode discordar. Pode concordar também. Só não vale ofender, xingar, usar o espaço para outro fim se não o de comentar o post. Agradeço antecipadamente por sua contribuição!