Cibersegurança

Microsoft alerta para botnet chinesa que explora falhas em roteadores para roubo de credenciais

Microsoft alerta sobre botnet chinesa que explora vulnerabilidades de roteadores para ataques de pulverização de senhas, visando roubo de credenciais em organizações da América do Norte e Europa.

o-botnet-phorpiex-retorna-ainda-mais-forte
Imagem: TechNadu

A Microsoft alertou sobre uma ameaça crescente vinda da China, com o grupo Storm-0940 empregando a botnet CovertNetwork-1658, também conhecida como Quad7, para realizar ataques de pulverização de senhas e roubo de credenciais. Essa ameaça visa organizações na América do Norte e Europa, como think tanks, ONGs, órgãos governamentais, escritórios de advocacia e setores de defesa, comprometendo principalmente dispositivos de rede com vulnerabilidades exploráveis, incluindo roteadores de marcas como TP-Link, Zyxel, Asus, Axentra, D-Link e NETGEAR.

Microsoft alerta para botnet chinesa que explora falhas em roteadores para roubo de credenciais

Microsoft intercepta botnet que espalha ransomware
Imagem: TecMasters

Segundo a Microsoft, o Storm-0940 está em atividade desde 2021, obtendo acesso a redes por meio de ataques de força bruta e exploração de serviços de rede. O grupo se infiltra em organizações-alvo utilizando senhas comprometidas, com uma tática de login discreta: apenas uma tentativa de login por conta por dia em até 80% das contas.

Ações da botnet e vulnerabilidades em dispositivos

Relatórios das empresas de segurança Sekoia e Team Cymru apontam que o malware da botnet compromete dispositivos de rede de pequeno porte, como roteadores SOHO, adicionando backdoors que escutam na porta TCP 7777 para viabilizar acesso remoto. A Quad7 permite que seus operadores realizem ataques coordenados contra contas Microsoft 365, aumentando a chance de invasão e obtenção de dados confidenciais. Estima-se que cerca de 8.000 dispositivos infectados estejam ativos, sendo 20% deles responsáveis pelas tentativas de pulverização de senha.

Em setembro de 2024, Sekoia informou ao The Hacker News que os operadores da botnet são patrocinados pelo Estado chinês e conduzem ataques direcionados para acesso inicial e movimentação lateral na rede, com táticas de exfiltração de dados e trojans de acesso remoto.

Reação e contramedidas

Após a divulgação pública da atividade da CovertNetwork-1658, a Microsoft notou um declínio nas atividades da infraestrutura de botnet, sugerindo que os operadores podem estar adaptando táticas para evitar a detecção, possivelmente adquirindo nova infraestrutura com modificações nas assinaturas digitais para manter a operação. A empresa destacou a necessidade de monitoramento contínuo e fortalecimento da segurança em dispositivos de rede para proteger credenciais e dados corporativos.

Para organizações e usuários de roteadores, é crucial atualizar firmwares e implementar senhas robustas para reduzir a exposição a ataques.