Microsoft ha appena lanciato l’allarme su una grave minaccia informatica. Una sofisticata botnet cinese, denominata Quad7, sta attualmente conducendo attacchi massicci contro le organizzazioni occidentali, rivela un nuovo rapporto degli esperti di sicurezza informatica del gigante di Redmond.
Attenti alla botnet cinese Quad7 avverte Microsoft
Il gruppo maligno, identificato come Storm-0940, sta mettendo in atto una strategia di attacco particolarmente insidiosa. Il loro metodo? Tentativi sistematici di accesso utilizzando password diverse, una tecnica nota come “password spray”. Una volta ottenuto l’accesso, gli hacker stabiliscono rapidamente una presenza permanente sui sistemi compromessi.
Secondo Microsoft, questa campagna di attacchi ha come obiettivo principale lo spionaggio. Nel mirino: think tank, organizzazioni governative, ONG, studi legali e industria della difesa. La sofisticazione di questi attacchi fa pensare a un’operazione meticolosamente orchestrata.
Come opera la botnet cinese
Il modus operandi del gruppo è particolarmente sottile. Microsoft osserva che CovertNetwork-1658, l’infrastruttura utilizzata dagli aggressori, procede con estrema cautela. “In circa l’80% dei casi, tentano una sola connessione per account al giorno per non dare nell’occhio”, affermano i ricercatori. Questo approccio prudente consente loro di evitare il rilevamento da parte dei sistemi di sicurezza tradizionali.
La rete botnet Quad7, che prende il nome dalla sua predilezione per la porta 7777, è in continua evoluzione. Inizialmente scoperta dal ricercatore Gi7w0rm e dal team Sekoia, prendeva di mira esclusivamente i router TP-Link. Oggi il suo arsenale si è notevolmente ampliato, includendo router ASUS, punti di accesso VPN Zyxel, router wireless Ruckus e media server Axentra.
Gli aggressori hanno sviluppato malware su misura per ogni tipo di dispositivo, creando diversi cluster di infezione. Questi cluster, identificati da varianti del termine “login” (rlogin, xlogin, alogin, ecc.), variano in termini di dimensioni: alcuni contengono migliaia di dispositivi infetti, altri solo pochi.
Particolarmente preoccupante è la velocità di azione degli hacker. In alcuni casi, i sistemi vengono compromessi lo stesso giorno in cui vengono scoperte le password, consentendo di installare immediatamente strumenti di accesso remoto (RAT) e proxy per mantenere l’accesso. Il consiglio quindi, è di prestare particolare attenzione se si utilizza uno dei router sopra citati, poiché la sua sicurezza potrebbe essere stata compromessa da questa nuova botnet cinese.