Тысячи взломанных роутеров TP-Link много лет тайно использовались в кибератаках

Microsoft выявила крупную угрозу безопасности, связанную с тысячами зараженных роутеров TP-Link, которые использовались для массовых атак на учетные записи в облачном сервисе Azure. Обнаруженная сеть, получившая название CovertNetwork-1658, включает более 8 000 скомпрометированных устройств. Атаки направлены преимущественно на пользователей в Северной Америке и Европе.Новости СМИ2

Зараженные устройства работают в рамках инфраструктуры, известной как Botnet-7777, и применяют особую тактику. Атаки с различных IP-адресов проводятся малыми партиями, что позволяет ботнету обходить стандартные методы безопасности и обнаружения. Благодаря этому киберпреступники могут скрытно атаковать целевые учетные записи, сообщают специалисты.

Среди групп, активно использующих этот ботнет, выделяется команда Storm-0940. Их целью становятся правительственные структуры, исследовательские институты и компании, работающие в оборонной сфере. Преступники применяют похищенные данные для проникновения в системы, перемещаются по сети и устанавливают инструменты удаленного мониторинга. Скомпрометированные устройства обычно сохраняют активность в сети около 90 дней, после чего изменяют IP-адреса, что делает их обнаружение особенно сложным.

Хотя Microsoft не выпустила конкретных инструкций для пользователей роутеров TP-Link, эксперты рекомендуют периодически перезагружать устройства. Это может временно устранить вредоносное ПО, так как оно не выдерживает перезапуска.