A Microsoft alertou sobre uma ameaça crescente vinda da China, com o grupo Storm-0940 empregando a botnet CovertNetwork-1658, também conhecida como Quad7, para realizar ataques de pulverização de senhas e roubo de credenciais. Essa ameaça visa organizações na América do Norte e Europa, como think tanks, ONGs, órgãos governamentais, escritórios de advocacia e setores de defesa, comprometendo principalmente dispositivos de rede com vulnerabilidades exploráveis, incluindo roteadores de marcas como TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.
Microsoft alerta para botnet chinesa que explora falhas em roteadores para roubo de credenciais
Segundo a Microsoft, o Storm-0940 está em atividade desde 2021, obtendo acesso a redes por meio de ataques de força bruta e exploração de serviços de rede. O grupo se infiltra em organizações-alvo utilizando senhas comprometidas, com uma tática de login discreta: apenas uma tentativa de login por conta por dia em até 80% das contas.
Ações da botnet e vulnerabilidades em dispositivos
Relatórios das empresas de segurança Sekoia e Team Cymru apontam que o malware da botnet compromete dispositivos de rede de pequeno porte, como roteadores SOHO, adicionando backdoors que escutam na porta TCP 7777 para viabilizar acesso remoto. A Quad7 permite que seus operadores realizem ataques coordenados contra contas Microsoft 365, aumentando a chance de invasão e obtenção de dados confidenciais. Estima-se que cerca de 8.000 dispositivos infectados estejam ativos, sendo 20% deles responsáveis pelas tentativas de pulverização de senha.
Em setembro de 2024, Sekoia informou ao The Hacker News que os operadores da botnet são patrocinados pelo Estado chinês e conduzem ataques direcionados para acesso inicial e movimentação lateral na rede, com táticas de exfiltração de dados e trojans de acesso remoto.
Reação e contramedidas
Após a divulgação pública da atividade da CovertNetwork-1658, a Microsoft notou um declínio nas atividades da infraestrutura de botnet, sugerindo que os operadores podem estar adaptando táticas para evitar a detecção, possivelmente adquirindo nova infraestrutura com modificações nas assinaturas digitais para manter a operação. A empresa destacou a necessidade de monitoramento contínuo e fortalecimento da segurança em dispositivos de rede para proteger credenciais e dados corporativos.
Para organizações e usuários de roteadores, é crucial atualizar firmwares e implementar senhas robustas para reduzir a exposição a ataques.