Microsoft vừa đưa ra cảnh báo về việc các tác nhân đe dọa từ Trung Quốc đang lợi dụng botnet Quad7, được cấu thành từ các router SOHO bị xâm phạm, để thực hiện các cuộc tấn công đánh cắp thông tin đăng nhập qua phương thức password spray. Botnet này, còn được biết đến với tên gọi CovertNetwork-1658 hay xlogin, lần đầu tiên được nhà nghiên cứu an ninh Gi7w0rm phát hiện.
Các báo cáo gần đây từ Sekoia và Team Cymru đã chỉ ra rằng các tác nhân đe dọa hiện đang nhắm mục tiêu đến các router và thiết bị mạng của TP-Link, ASUS, Ruckus, các thiết bị NAS Axentra và các sản phẩm vpn của Zyxel. Khi các thiết bị này bị xâm phạm, các tác nhân đe dọa sẽ triển khai phần mềm độc hại tùy chỉnh giúp truy cập từ xa qua Telnet, hiển thị các banner chào mừng đặc biệt tùy thuộc vào thiết bị bị xâm phạm. Nhằm tăng cường khả năng che giấu, họ cài đặt một máy chủ proxy SOCKS5 cho phép thực hiện các cuộc tấn công độc hại trong khi vẫn hòa trộn cùng với lưu lượng hợp pháp.
Một điều đáng lưu ý là botnet này chưa được gán cho bất kỳ tác nhân đe dọa nào cụ thể, nhưng Team Cymru đã theo dõi phần mềm proxy được sử dụng trên các router này đến một người dùng sống tại Hàng Châu, Trung Quốc. Theo thông tin từ Microsoft, botnet Quad7 được cho là hoạt động từ Trung Quốc, với nhiều tác nhân đe dọa khác nhau đang sử dụng các router đã bị xâm phạm để đánh cắp thông tin đăng nhập qua các cuộc tấn công password spray. “Microsoft đánh giá rằng các thông tin đăng nhập thu được từ các hoạt động password spray của CovertNetwork-1658 đang được nhiều tác nhân đe dọa Trung Quốc sử dụng,” Microsoft cho biết trong một báo cáo mới. Đặc biệt, Microsoft đã quan sát thấy tác nhân đe dọa Trung Quốc Storm-0940 đang sử dụng thông tin đăng nhập từ CovertNetwork-1658. Khi tiến hành các cuộc tấn công password spray, Microsoft cho biết các tác nhân đe dọa không phải là những kẻ tấn công bạo lực, chỉ cố gắng đăng nhập một vài lần trên mỗi tài khoản, có thể là để tránh phát hiện. “Trong các chiến dịch này, CovertNetwork-1658 thực hiện một số lượng rất nhỏ các cuộc thử nghiệm đăng nhập vào nhiều tài khoản của một tổ chức mục tiêu,” Microsoft chia sẻ. “Khoảng 80% trường hợp, CovertNetwork-1658 chỉ thực hiện một cuộc thử nghiệm đăng nhập mỗi tài khoản mỗi ngày.”
Tuy nhiên, một khi đã đánh cắp thông tin đăng nhập, Microsoft nhận thấy rằng Storm-0940 đã sử dụng chúng để xâm nhập vào các mạng mục tiêu, đôi khi ngay trong cùng ngày chúng bị đánh cắp. Sau khi xâm phạm, các tác nhân đe dọa tiếp tục mở rộng sự xâm nhập qua mạng bằng cách lấy cắp thông tin đăng nhập và cài đặt RAT (Remote Access Trojans) cũng như các công cụ proxy nhằm duy trì quyền truy cập liên tục vào mạng. Mục tiêu cuối cùng của cuộc tấn công là đánh cắp dữ liệu từ mạng đã mục tiêu, có khả năng phục vụ cho mục đích gián điệp mạng. Đến hiện tại, các nhà nghiên cứu vẫn chưa xác định chính xác cách mà các tác nhân botnet Quad7 xâm phạm các router SOHO và các thiết bị mạng khác. Tuy nhiên, Sekoia đã ghi nhận một trong những honeypot của họ bị xâm nhập bởi các tác nhân đe dọa Quad7 thông qua một lỗ hổng zero-day của OpenWRT. “Chúng tôi đã chờ đợi chưa đầy một tuần trước khi quan sát một cuộc tấn công đáng chú ý đã được xâu chuỗi từ một lỗ hổng tiết lộ tệp không xác thực, nằm ngoài tầm kiểm soát công khai vào thời điểm này (theo tìm kiếm của Google) và một lỗ hổng tiêm lệnh,” Sekoia cho biết vào tháng 7. Tuy nhiên, cách mà các tác nhân này đang xâm nhập vào các thiết bị khác vẫn còn là một bí ẩn.