Microsoft ha pubblicato un rapporto dettagliato sulle attività attribuite alla cyber gang di attori di minacce cinesi noto come Storm-0940. Questo gruppo è stato identificato per l’uso di credenziali ottenute tramite attacchi di tipo password spray, resi possibili attraverso una botnet di dispositivi compromessi.
Un attacco di password spray è una tecnica di attacco informatico in cui un cyber criminale tenta di accedere a numerosi account utilizzando un numero limitato di password comuni.
A differenza degli attacchi di forza bruta, che provano tutte le possibili combinazioni di password su un singolo account, gli attacchi password spray utilizzano poche password comuni su molti account. Questo approccio permette di evitare i blocchi degli account che si attivano dopo un certo numero di tentativi falliti, poiché ogni account viene attaccato solo una volta per ogni password.
Indice degli argomenti
Storm-0940, target e tecniche utilizzate
Storm-0940 è attivo almeno dal 2021 e ha preso di mira organizzazioni in Nord America e Europa, inclusi centri di ricerca, organizzazioni governative e studi legali. Gli attacchi sono caratterizzati da un’elevata evasività, rendendo difficile la loro rilevazione.
Il gruppo utilizza una rete di router compromessi, principalmente dispositivi TP-Link (router TP-LINK WR841N) per condurre gli attacchi. Secondo il colosso di Redmond questa rete, denominata CovertNetwork-1658, avrebbe permesso a Storm-0940 di eseguire attacchi password spray in modo altamente evasivo, tentando di accedere a molti account Microsoft utilizzando un numero limitato di password comuni. Attività peraltro già segnalate anche dai ricercatori di Sekoia (qui) e Team Cymru (qui).
La botnet CovertNetwork-1658ribattezzata anche con il nome “Quad7” perché sfrutta prevalentemente una backdoor in ascolto sulla porta TCP 7777, è stata individuata per la prima volta dall’esperto noto con l’alias “Gi7w0rm”.
Nel tempo, però, diversi sarebbero stati i cluster della rete nascosta sviluppati dai cyber criminali ampliando il tipo di dispositivi SOHO (Small Office/Home Office) compromessi.
Sarebbero a rischio di compromissione non solo i router TP-Link, ma anche alcuni modelli di router ASUS e Zyxel. Questi dispositivi verrebbero captati, sfruttando bug di sicurezza noti o meno, per eseguire codice remoto.
Storm-0940: una catena d’attacco tipica
Secondo il rapporto Microsoft, lo scopo dell’attore della minaccia Storm-0940sarebbe quello di insidiarsi nei sistemi informatici compromessi per acquisire informazioni.
Dopo aver ottenuto con successo l’accesso a un router vulnerabile, l’attore della minaccia procederebbe a preparare il router per le operazioni di password spray secondo lo schema riportato.
Fonte: Microsoft.
Solo dopo aver ottenuto con successo l’accesso all’ambiente di una vittima, Storm-0940 provvederebbe a utilizzare strumenti di scansione e di dumping delle credenziali per muoversi lateralmente all’interno della rete, tentare di accedere ai dispositivi di rete, installare trojan RAT per la persistenza ed esfiltrare dati.
Attività difficile da rilevare
L’attività di Storm-0940 evidenzia l’importanza di adottare misure di sicurezza preventive, come l’uso di autenticazione a più fattori e la rotazione regolare delle password.
La collaborazione tra aziende tecnologiche e fornitori di dispositivi è quanto mai fondamentale per contrastare queste minacce.
L’infrastruttura CovertNetwork-1658 sarebbe difficile da rilevare oltre che per il processo di password spray a basso volume, anche per l’impiego a rotazione di un vasto set indirizzi IP di router SOHO compromessi e per la durata del tempo di attività medio di un nodo della infrastruttura CovertNetwork-1658 che si aggira a circa 90 giorni.
Microsoft fa sapere che ha prontamente allertato i clienti colpiti, fornendo loro tutte le informazioni per mettere in sicurezza i propri ambienti e che ha anche collaborato con i fornitori dei router interessati per mitigare le vulnerabilità sfruttate dal gruppo cyber.
L’azienda inoltre ritiene che gli autori della minaccia stiano probabilmente acquisendo una nuova infrastruttura per eludere il rilevamento, in quanto l’attività della rete CovertNetwork-1658 risulterebbe essere diminuita in modo sostanziale dopo la divulgazione delle evidenze.