Quad7 Botnet
Kyberturvallisuusasiantuntijat ovat tunnistaneet kiinalaisen uhkatekijän, joka tunnetaan nimellä Storm-0940, joka käyttää Quad7-nimistä bottiverkkoa suorittaakseen kehittyneitä ja vältteleviä salasanasumutushyökkäyksiä. Tätä bottiverkkoa, jota kutsutaan myös nimellä CovertNetwork-1658, käytetään useiden Microsoft-asiakkaiden valtuustietojen varastamiseen. Ainakin vuodesta 2021 lähtien toiminut Storm-0940 saa alkupääsyn käyttämällä salasanaspray- ja brute-force-tekniikoita tai kohdistamalla haavoittuvuuksiin ja virheellisiin konfiguraatioihin verkon reunasovelluksissa ja -palveluissa.
Sisällysluettelo
Hyökkääjät kohdistuvat lukuisiin haavoittuviin laitteisiin
Storm-0940 on tunnustettu keskittymisestä organisaatioihin ympäri Pohjois-Amerikan ja Euroopan, mukaan lukien ajatushautomot, valtion elimet, kansalaisjärjestöt, lakitoimistot ja puolustusteollisuuden sektorit.
Quad7-bottiverkko, jota kutsutaan myös nimellä 7777 tai xlogin, on tutkinut perusteellisesti. Tämä haittaohjelma on keskittynyt erityisesti useiden tunnettujen merkkien SOHO-reitittimiin ja VPN-laitteisiin, kuten TP-Link, Zyxel, Asus, Axentra, D-Link ja NETGEAR.
Nämä laitteet vaarantuvat hyödyntämällä sekä tunnistettuja että mahdollisesti tuntemattomia tietoturva-aukkoja koodin etäsuorittamisen saavuttamiseksi. Bottiverkon nimi Quad7 johtuu siitä, että tartunnan saaneet reitittimet sisältävät takaoven, joka kuuntelee TCP-porttia 7777 mahdollistaen etäkäytön.
Nelosen ja hyökkääjien näyttämät taktiikat
Syyskuusta 2024 lähtien bottiverkko näyttää olevan ensisijaisesti käytetty raa'an voiman hyökkäyksiin Microsoft 365 -tilejä vastaan, mikä viittaa siihen, että Kiinan valtion tukemat toimijat ovat todennäköisesti näiden toimintojen takana.
Microsoftin arvio viittaa siihen, että bottiverkon operaattorit sijaitsevat Kiinassa, jossa useat uhkatoimijat käyttävät sitä salasanaspray-hyökkäyksiin mahdollistaakseen verkon edelleen hyväksikäytön. Näitä seurantatoimia ovat sivuttaisliikkeet, Remote Access Trojan (RAT) -käyttöönotto ja tietojen suodatus.
Storm-0940 on yksi niistä, jotka hyödyntävät tätä menetelmää. Se pääsi kohdeorganisaatioihin käyttämällä näiden hyökkäysten kautta saatuja kelvollisia valtuustietoja – usein samana päivänä, kun tunnistetiedot vaarantuivat. Tämä nopea siirtyminen kohdennettuun hyödyntämiseen viittaa korkeatasoiseen koordinointiin botnet-operaattoreiden ja Storm-0940:n välillä.
Samaan aikaan CovertNetwork-1658 käyttää hillitympää lähestymistapaa, ja pieni määrä kirjautumisyrityksiä on jaettu useille kohdeorganisaation tileille. Noin 80 %:ssa tapauksista toiminta rajoittuu yhteen kirjautumisyritykseen tiliä kohden joka päivä.
Quad7 vaaransi tuhansia laitteita
Arviolta 8 000 vaarantuneen laitteen uskotaan olevan aktiivisia verkossa kulloinkin, ja vain noin 20 prosenttia näistä laitteista osallistuu salasanojen ruiskutushyökkäyksiin.
Asiantuntijat ovat havainneet botnet-infrastruktuurin merkittävän heikkenemisen sen julkistamisen jälkeen, mikä viittaa siihen, että uhkatoimijat saattavat etsiä uutta infrastruktuuria, jossa on muuttuneet sormenjäljet havaitsemisen välttämiseksi.
CovertNetwork-1658-infrastruktuurin hyödyntäminen mahdollistaa sen, että kaikki uhkatoimijat voivat käynnistää salasanojen ruiskutuskampanjoita paljon laajemmassa mittakaavassa, mikä parantaa merkittävästi mahdollisuuksia onnistuneesti vaarantaa tunnistetiedot ja saada alustava pääsy useisiin organisaatioihin lyhyessä ajassa.
Tämä laaja kattavuus yhdistettynä vaarantuneiden tunnistetietojen nopeaan vaihtumiseen CovertNetwork-1658:n ja kiinalaisten uhkatoimijoiden välillä lisää tilien vaarantumisen riskiä eri sektoreilla ja alueilla.
Asiantuntijat, jotka ovat havainneet botnet-toiminnan hidastumisen, osoittavat, että liikenne näyttää edelleen, että Quad7 on edelleen toiminnassa. On kuitenkin tärkeää tunnustaa, että tämä vaarantuneiden reitittimien huomattava väheneminen heijastaa vain näkyviä rikkomuksia. On mahdollista, että Quad7-operaattorit ovat kehittäneet menetelmiä vaarantaa laitteita huomaamattomasti ja välttää havaitsemisen.
