16.000 enrutadores TP-Link infectados: cómo los piratas informáticos chinos evitan la protección de Azure

Microsoft informó recientemente sobre una nueva amenaza proveniente de hackers chinos que utilizan una red extensa de enrutadores TP-Link infectado y otros dispositivos conectados a internet para atacar a usuarios del servicio en la nube Azure. Esta red, conocida como CovertNetwork-1658, emplea activamente ataques de tipo Password-Spraying — intentos de adivinar contraseñas mediante múltiples inicios de sesión desde diferentes direcciones IP, lo cual permite eludir los sistemas de seguridad.

La red CovertNetwork-1658, que incluye hasta 16,000 dispositivos comprometidos, fue detectada por investigadores por primera vez en octubre de 2023. Una característica distintiva de la red es el uso del puerto 7777 para controlar los dispositivos infectados, lo que llevó a que se le denominara Botnet-7777. Según Microsoft, la red es utilizada por varios grupos de hackers chinos para comprometer cuentas en Azure, lo que representa una seria amenaza para la seguridad en diversos sectores.

Según las estimaciones de los especialistas, CovertNetwork-1658 utiliza cientos de direcciones IP con un periodo corto de actividad — aproximadamente 90 días. Esto dificulta la detección de los ataques, ya que cada dirección IP realiza solo un número limitado de intentos de inicio de sesión, lo que reduce la probabilidad de ser detectada.

Un componente importante de este ataque es el soporte de la infraestructura del botnet, que permite aumentar la probabilidad de éxito en el compromiso de cuentas. Microsoft ha declarado que muchos de los datos comprometidos se transmiten instantáneamente entre CovertNetwork-1658 y grupos de hackers afiliados, como Storm-0940. Este grupo se enfoca en instituciones de América del Norte y Europa, incluidas instituciones de análisis, estructuras gubernamentales y de defensa.

Para infiltrarse en redes, los atacantes utilizan movimientos laterales en la red después de obtener acceso a una cuenta, lo que les permite instalar software malicioso adicional y exfiltrar datos.

Microsoft también destacó las dificultades para detectar estos ataques. Los métodos principales de evasión de los sistemas de seguridad incluyen:

• uso de direcciones IP comprometidas de enrutadores domésticos;
• rotación de direcciones IP, lo que crea la ilusión de múltiples fuentes diferentes;
• intentando adivinar contraseñas en un volumen limitado para no despertar sospechas en los sistemas de monitoreo.

Recientemente, la actividad de CovertNetwork-1658 ha disminuido, aunque esto no indica el cese de su actividad. Microsoft cree que la red está expandiendo su infraestructura y cambiando sus huellas digitales para evadir las medidas de protección previamente detectadas.

Los especialistas recomiendan reiniciar periódicamente los dispositivos, ya que la mayoría de ellos no retienen el malware después de reiniciarse. Sin embargo, esto no previene su reinfección.