La Botnet Cinese CovertNetwork-1658 Colpisce Azure con 16.000 Router Infetti!

Redazione RHC : 5 Novembre 2024 08:09

Microsoft ha recentemente segnalato una nuova minaccia rappresentata dagli hacker cinesi che utilizzano una vasta rete di router TP-Link infetti e altri dispositivi connessi a Internet per attaccare gli utenti del servizio cloud Azure. Questa rete, nota come CovertNetwork-1658, utilizza attivamente attacchi Password-Spraying: tenta di indovinare le password tramite accessi di massa da diversi indirizzi IP, che consentono di aggirare i sistemi di sicurezza.

La rete CovertNetwork-1658, che comprende fino a 16.000 dispositivi compromessi, è stata scoperta per la prima volta dai ricercatori nell’ottobre 2023. Una particolarità della rete è l’utilizzo della porta 7777 per controllare i dispositivi infetti, da cui il nome Botnet-7777. Secondo Microsoft, la rete viene utilizzata da diversi gruppi di hacker cinesi per compromettere gli account Azure, ponendo una seria minaccia alla sicurezza in più settori.

Gli esperti stimano che CovertNetwork-1658 utilizzi centinaia di indirizzi IP con un breve periodo di attività di circa 90 giorni. Ciò rende difficile il rilevamento degli attacchi poiché ciascun indirizzo IP effettua solo un numero limitato di tentativi di accesso, riducendo la probabilità di rilevamento.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Una componente importante di questo attacco è il supporto dell’infrastruttura della botnet, che aumenta la probabilità di successo dell’hacking degli account. Microsoft ha dichiarato che molti dati compromessi vengono immediatamente trasferiti tra CovertNetwork-1658 e gruppi di hacker affiliati come Storm-0940. Il gruppo prende di mira le istituzioni del Nord America e dell’Europa, inclusi think tank, enti governativi e di difesa.

Per penetrare nelle reti, gli aggressori utilizzano il movimento laterale attraverso la rete dopo aver ottenuto l’accesso a uno degli account, che consente loro di installare malware aggiuntivo ed esfiltrare dati. Microsoft ha inoltre notato la difficoltà nel rilevare tali attacchi. I metodi di base per aggirare i sistemi di sicurezza includono:

• utilizzo di indirizzi IP compromessi di router domestici;
• rotazione degli indirizzi IP, che crea l’illusione di molte fonti diverse;
• tentativi di indovinare la password di portata limitata in modo da non destare sospetti tra i sistemi di monitoraggio.

Recentemente, l’attività di CovertNetwork-1658 è diminuita, ma ciò non indica la cessazione delle sue attività. Microsoft ritiene che la rete stia espandendo la propria infrastruttura modificando le impronte che lascia per aggirare le misure di sicurezza precedentemente scoperte.

Gli esperti consigliano di riavviare periodicamente i dispositivi, poiché la maggior parte di essi non trattiene il malware dopo il riavvio. Tuttavia, ciò non impedisce loro di contrarre nuovamente l’infezione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.