Quad7 Botnet

מומחי אבטחת סייבר זיהו שחקן איומים סיני, המכונה Storm-0940, המשתמש ברשת בוט בשם Quad7 כדי לבצע התקפות מתוחכמות ומתחמקות של ריסוס סיסמאות. רשת בוט זו המכונה גם CovertNetwork-1658, משמשת לגניבת אישורים מלקוחות שונים של מיקרוסופט. פועל מאז 2021 לפחות, Storm-0940 מקבל גישה ראשונית על ידי שימוש בטכניקות ריסוס סיסמאות וכוח גס או על ידי מיקוד לפגיעויות ותצורות שגויות ביישומים ושירותים של קצה רשת.

תוקפים מכוונים למספר מכשירים פגיעים

Storm-0940 מוכרת בשל התמקדותה בארגונים ברחבי צפון אמריקה ואירופה, כולל צוותי חשיבה, גופים ממשלתיים, ארגונים לא ממשלתיים, משרדי עורכי דין ומגזרים בתעשייה הביטחונית.

רשת הבוט Quad7, הנקראת גם 7777 או xlogin, נחקרה ביסודיות על ידי חוקרים. תוכנה זדונית זו הראתה התמקדות מיוחדת בנתבי SOHO ומכשירי VPN מכמה מותגים ידועים, כגון TP-Link, Zyxel, Asus, Axentra, D-Link ו-NETGEAR.

התקנים אלה נפגעים על ידי ניצול פגיעות אבטחה מזוהות ופוטנציאליות לא ידועות כדי להשיג ביצוע קוד מרחוק. שמו של ה-botnet, Quad7, נובע מהעובדה שהנתבים הנגועים כוללים דלת אחורית שמאזינה ביציאת TCP 7777, המאפשרת גישה מרחוק.

טקטיקות המוצגות על ידי ה-Quad והתוקפים

נכון לספטמבר 2024, נראה שהבוטנט נפרס בעיקר עבור התקפות בכוח גס על חשבונות Microsoft 365, עם אינדיקציות שסביר להניח ששחקנים בחסות המדינה הסינית עומדים מאחורי הפעולות הללו.

מההערכה של מיקרוסופט עולה כי מפעילי הבוטנט מבוססים בסין, שם מספר גורמי איומים מנצלים אותו לצורך התקפות ריסוס סיסמאות כדי לאפשר ניצול נוסף של הרשת. פעילויות מעקב אלו כוללות תנועה לרוחב, פריסת גישה טרויאנית מרחוק (RAT) ומאמצי חילוץ נתונים.

Storm-0940 הוא בין המנצלים שיטה זו. הוא השיג גישה לארגוני יעד על ידי שימוש באישורים תקפים שהושגו באמצעות התקפות אלה - לעתים קרובות באותו יום שבו האישורים נפגעו. המעבר המהיר הזה לניצול ממוקד מצביע על רמה גבוהה של תיאום בין מפעילי הבוטנט לבין Storm-0940.

בינתיים, CovertNetwork-1658 נוקט בגישה מאופקת יותר, עם מספר קטן של ניסיונות התחברות המופצים על פני מספר חשבונות בארגון ממוקד. בערך ב-80% מהמקרים, הפעילות מוגבלת לניסיון כניסה בודד לחשבון בכל יום.

אלפי מכשירים נפגעו על ידי Quad7

על פי ההערכות, כ-8,000 מכשירים שנפרצו פעילים ברשת בכל רגע נתון, כאשר רק כ-20% מהמכשירים הללו משתתפים בהתקפות של ריסוס סיסמאות.

מומחים הבחינו בירידה משמעותית בתשתית הבוטנט בעקבות חשיפת הציבור שלה, מה שמצביע על כך שגורמי איומים עשויים לחפש תשתית חדשה עם טביעות אצבע משתנות כדי להימנע מגילוי.

שימוש בתשתית CovertNetwork-1658 מאפשר לכל גורם איומים להשיק קמפיינים של ריסוס סיסמאות בקנה מידה גדול בהרבה, מה שמגביר באופן משמעותי את הסיכויים להתפשר בהצלחה על אישורים ולקבל גישה ראשונית לארגונים רבים תוך תקופה קצרה.

טווח הגעה נרחב זה, יחד עם התחלופה המהירה של אישורים שנפגעו בין CovertNetwork-1658 וגורמי איומים סיניים, מעלים את הסיכון לפשרות חשבונות במגזרים ואזורים שונים.

מומחים שציינו את ההאטה בפעילות הבוטנט מציינים שהתעבורה עדיין מראה ש-Quad7 נשאר פעיל. עם זאת, חיוני להכיר בכך שירידה ניכרת זו בנתבים שנפגעו משקפת רק הפרות גלויות. קיימת אפשרות שמפעילי Quad7 פיתחו שיטות להתפשר על מכשירים באופן דיסקרטי ולהימנע מגילוי.