This post is also available in:
English (אנגלית)
בוטנט סיני סמוי, שנקרא על ידי מיקרוסופט "CovertNetwork-1658", זוהה לאחר שהשתמש בנתביTP-Link שנפרצו כדי לבצע תקיפות חשאיות של ריסוס סיסמאות. פעולה זו, שהתגלתה באוגוסט 2023, מסתמכת על ממוצע של 8,000 התקנים שנפרצו כדי לתקוף ארגונים עם סיכון זיהוי מינימלי.
הבוטנט מורכב בעיקר מנתבי משרד קטן ומשרדים ביתיים (SOHO), המספקים להאקרים מגוון רחב של כתובות IP לגיטימיות, מה שמאפשר להם להתחמק מאמצעי אבטחה. מיקרוסופט דיווחה כי רשת זו פועלת תחת כינויים שונים, כולל "xlogin" ו-Quad7"", כאשר קבוצת האקינג בשםStorm-0940 נראית כמשתמש העיקרי שלה.
CovertNetwork-1658 מנסה לתקוף במיוחד קבוצות חשיבה, גופים ממשלתיים וארגונים אחרים ברחבי צפון אמריקה ואירופה. הגישה הראשונית מושגת לעתים קרובות באמצעות שילוב של טכניקות ריסוס סיסמה, התקפות ברוט-פורס וניצול של יישומי רשת שהוגדרו בצורה שגויה. מיקרוסופט מדגישה כי הבוטנט הוא חשאי במיוחד, ומבצע בממוצע ניסיון כניסה אחד בלבד לכל חשבון בכל יום, כאשר 80% מהחשבונות מקבלים רק ניסיון אחד.
הנתבים שנפגעו מגבילים את ניסיונותיהם לשלושה ימים לכל היותר, מה שמקשה על זיהוי של פעילויות זדוניות. החוקרים מציינים כי לבוטנט יש גישה לאלפי כתובות IP מסתובבות, כאשר לכל מכשיר יש בממוצע 90 ימים של זמן פעולה תקינה. בעקבות החשיפה של רשת זו על ידי חוקרי האבטחה של מייקרוסופט, הפעילות שלה ירדה באופן משמעותי, ורק מאות נקודות קצה פעלו בחודשים האחרונים. עם זאת, מיקרוסופט מעריכה כי CovertNetwork-1658 עדיין פונקציונלית וככל הנראה עוברת לתשתית חדשה.
בסוף אוקטובר חלה עלייה ניכרת בפעילות הזדונית הקשורה לבוטנט זה. מיקרוסופט מזהירה כי כל האקר המשתמש בתשתית זו יכול להגדיל את הקמפיינים של ריסוס סיסמאות, ובכך לשפר באופן משמעותי את הסיכוי להשגת נתוני התחברות וגישה בלתי מורשית לארגונים מרובים במהירות.
כדי לצמצם סיכונים אלה, מיקרוסופט קוראת לארגונים לאמץ אמצעי אבטחת סייבר חזקים, כולל הטמעת אימות רב-גורמי, השבתת שיטות התחברות מיושנות ואימוץ אסטרטגיות אימות ללא סיסמה. ככל שאיומי סייבר מתפתחים, צעדים פרואקטיביים הינם חיוניים לשמירה על מידע רגיש.
