Microsoft сообщила об обнаружении серьезной угрозы безопасности, связанной с тысячами скомпрометированных роутеров TP-Link, которые используются в массовых атаках с подбором паролей против пользователей облачного сервиса Azure.
Сеть, которую Microsoft называет CovertNetwork-1658, насчитывает более 8000 зараженных устройств и в основном нацелена на учетные записи Azure в Северной Америке и Европе. Эта инфраструктура, также известная как Botnet-7777, применяет уникальную тактику с использованием малых объемов попыток входа с разных IP-адресов, что позволяет ей обходить стандартные методы обнаружения, отмечают исследователи.
Одна из наиболее активных групп, использующая этот ботнет, известная как Storm-0940, нацелена на правительственные организации, аналитические центры и оборонные компании. Злоумышленники используют украденные учетные данные для доступа, перемещаются по сети и устанавливают удаленные инструменты для наблюдения. Устройства в ботнете сохраняют устойчивость примерно на 90 дней и меняют IP-адреса, что еще больше затрудняет их обнаружение.
Microsoft не предоставила конкретных рекомендаций для пользователей роутеров TP-Link, но эксперты отмечают, что периодическая перезагрузка может временно удалить вредоносное ПО, которое не сохраняется после перезапуска.