La semana pasada, Microsoft emitió una advertencia de que se está utilizando activamente una red de bots (o botnet) para llevar a cabo ataques avanzados de pulverización de contraseñas contra usuarios del servicio de computación en la nube Azure de Microsoft. ¿La peor parte? Esto lleva más de un año.
Como reportado por Ars Technicalos piratas informáticos que trabajaban para el gobierno chino utilizaron una botnet (compuesta principalmente por enrutadores TP-Link, con más de 16.000 dispositivos comprometidos, de todo el mundo) para llevar a cabo ataques que secuestraron cuentas de Microsoft Azure.
Pulverización de contraseñas es un tipo de ataque de fuerza bruta en el que se realizan numerosos intentos de inicio de sesión desde múltiples direcciones IP, lo que dificulta la detección de los ataques porque cada dispositivo individual solo intenta iniciar sesión unas pocas veces. Con miles de dispositivos botnet a mano, puedes ver cuán efectivo podría ser este método.
La botnet china fue descubierta por primera vez en octubre de 2023 por un investigador que la llamó Botnet-7777. Microsoft se refiere oficialmente a esta botnet como CovertNetwork-1658, y la botnet todavía intenta estos ataques “altamente evasivos” hasta el día de hoy, aunque en menor grado: sólo unos 8.000 dispositivos comprometidos siguen activos.
Según funcionarios de Microsoft:
“Cualquier actor de amenazas que utilice la infraestructura CovertNetwork-1658 podría llevar a cabo campañas de pulverización de contraseñas a mayor escala y aumentar en gran medida la probabilidad de comprometer con éxito las credenciales y el acceso inicial a múltiples organizaciones en un corto período de tiempo. Esta escala, combinada con una rápida rotación operativa de credenciales comprometidas entre CovertNetwork-1658 y los actores de amenazas chinos, permite el potencial de compromisos de cuentas en múltiples sectores y regiones geográficas”.
Microsoft también declaró que Storm-0940 es uno de los grupos que utiliza CovertNetwork-1658, y este grupo apunta a think tanks, organizaciones gubernamentales y no gubernamentales y firmas de abogados, no solo en América del Norte y Europa, sino también en otras regiones.
Una vez que una cuenta de Azure se ve comprometida, los actores maliciosos intentan propagar su infección a otras partes de la red, extrayendo datos e instalando puertas traseras para un acceso continuo.
Este artículo apareció originalmente en nuestra publicación hermana. PC para Alla y fue traducido y localizado del sueco.
