Chinese hackers gebruiken al jarenlang een botnet dat vrijwel exclusief uit routers van TP-Link bestaat om Microsoft Azure aan te vallen.
Hackers met banden met de Chinese overheid vallen al zeker meer dan een jaar Microsoft Azure aan met een botnet. De criminelen gebruiken het botnet voor zogenaamde password spray-aanvallen, waarbij ze veelvuldig wachtwoorden uitproberen om in te loggen op accounts.
Roterende IP’s
Het botnet in kwestie telde ongeveer 16.000 gecompromitteerde toestellen op zijn piek, en zou gemiddeld uit 8.000 toestellen bestaan. Het valt op dat vrijwel al die toestellen routers van TP-Link zijn. Beveiligingsonderzoekers noemden het netwerk Botnet-7777 omdat het actief is op, je raat het al, poort 7777. Microsoft hanteert een andere naam: CovertNetwork-1658. Het volgt de malafide activiteit al sinds augustus 2023 op.
Het botnet maakt password spray aanvallen mogelijk ondanks beschermingsmaatregelen van Microsoft. Verschillende foutieve loginpogingen op een account zorgen er immers voor dat een IP-adres geblokkeerd wordt, maar de Chinese hackers hebben dankzij het botnet duizenden verschillende adressen ter beschikking, die ze kunnen afwisselen. Zo kunnen ze veel meer wachtwoorden uitproberen.
Onduidelijke infectievector
Het is onduidelijk hoe de hackers zich initieel een weg banen in de toestellen van TP-Link. Wanneer ze toegang hebben, ondernemen ze wel steeds dezelfde stappen. Ze downloaden software om toegang op afstand (via poort 7777) tot stand te brengen en initialiseren een SOCKS5-server op TCP-poort 11288.
Microsoft laat weten dat de aanvallen van het botnet de laatste maanden een beetje zijn afgenomen, maar vermoedt dat die luwte maar tijdelijk is. Nu het netwerk publiek onder de aandacht komt, willen de aanvallers het vermoedelijk herconfigureren en opnieuw anoniem maken.
Heropstarten
Wat je als eigenaar van een TP-Link-router kan doen, is ook niet zo duidelijk, aangezien de bron van de infecties een mysterie blijft. Het lijkt er wel op dat criminelen exclusief in het geheugen kunnen werken, en niet naar de opslag kunnen schrijven. Dat impliceert dat herstart van een toestel minstens tijdelijk volstaat om de aanvallers buiten te stampen. Heb je een TP-Link-router, dan is het geen slecht plan om zo’n reboots in te plannen.
Wie op Microsoft Azure zit, kan zich op de gebruikelijke manier beschermen: zorg voor goede wachtwoorden die niet circuleren op het dark web, en schakel MFA in.