Password spray dalla Cina: hacker sfruttano vulnerabilità nei router per attaccare gli utenti

Negli ultimi mesi è stato registrato un aumento delle attività malevole legate a un attore di minacce cinese noto come Storm-0940. Questo gruppo ha dimostrato una notevole capacità di sfruttare le vulnerabilità delle reti e dei dispositivi, utilizzando tecniche sofisticate per ottenere accesso non autorizzato a sistemi sensibili. Le indagini condotte da Microsoft hanno rivelato che l'attore malevolo si avvale di credenziali ottenute tramite attacchi di password spray, orchestrati attraverso una rete clandestina di dispositivi compromessi, identificata come CovertNetwork-1658.

La rete è composta principalmente da router SOHO (Small Office and Home Office) vulnerabili, in particolare modelli di TP-Link. Questi dispositivi fungono da punti d'accesso per gli attacchi, consentendo agli aggressori di mascherare la loro identità e di effettuare tentativi di accesso a numerosi account senza destare sospetti. Microsoft ha monitorato questa infrastruttura dal mese di agosto 2023, scoprendo che gli attacchi sono caratterizzati da un numero ridotto di tentativi di accesso per account, rendendo difficile la loro rilevazione. Infatti, circa l'80% delle operazioni di password spraying avviene con un solo tentativo al giorno per ciascun account bersaglio.

Ecco come i cinesi stanno cercando di rubare le credenziali ai clienti Microsoft

Storm-0940 ha iniziato le sue operazioni almeno nel 2021, prendendo di mira organizzazioni in Nord America e in Europa. Tra i settori colpiti ci sono think tank, enti governativi, ONG e aziende del settore legale e della difesa. L'attore ha dimostrato abilità nell'ottenere accesso iniziale ai sistemi attraverso attacchi di password spray o sfruttando applicazioni e servizi vulnerabili. Una volta ottenuto l'accesso, Storm-0940 utilizza strumenti per la scansione delle reti e il dumping delle credenziali, permettendo così un movimento laterale all'interno delle infrastrutture compromesse.

Dopo aver compromesso un router, in particolare, l'autore della minaccia cerca di scaricare file binari Telnet e backdoor "xlogin" da server FTP remoti, avviando quindi una shell di comando accessibile sulla porta TCP 7777. Successivamente, viene scaricato e avviato un server SOCKS5 sulla porta TCP 11288, che viene utilizzato per eseguire le campagne di password spray in modo da far apparire i tentativi di accesso come provenienti dai dispositivi compromessi. Microsoft ha osservato che il numero medio di dispositivi compromessi nella rete CovertNetwork-1658 è stato stimato in circa 8 mila unità attive contemporaneamente, con circa il 20% coinvolto in operazioni di password spraying. Questo volume elevato consente agli aggressori di condurre campagne su larga scala, aumentando significativamente il rischio di compromissione delle credenziali.

Microsoft ha osservato numerosi casi in cui l'attore di minacce cinese Storm-0940 ha ottenuto l'accesso iniziale alle organizzazioni di destinazione utilizzando credenziali valide acquisite attraverso le operazioni di password spray di CovertNetwork-1658. In alcuni casi, Storm-0940 è stato visto utilizzare credenziali compromesse ottenute dalla rete CovertNetwork-1658 lo stesso giorno, a dimostrazione di una stretta relazione di lavoro tra i due gruppi. Secondo Microsoft, la stretta collaborazione tra CovertNetwork-1658 e Storm-0940 consente a quest'ultimo di condurre campagne di compromissione su larga scala in un breve periodo di tempo, grazie alla rapida rotazione delle credenziali rubate. Chiaramente, Microsoft può condurre le proprie analisi di monitoraggio sui sistemi dei propri clienti, ma non è detto che questi ultimi siano gli unici coinvolti, quindi è possibile che anche altri utenti e organizzazioni siano a rischio.

Microsoft stima che l'esposizione pubblica delle operazioni della rete abbia portato a una diminuzione dell'utilizzo della stessa; tuttavia, è probabile che gli attaccanti stiano già cercando nuove infrastrutture per continuare le loro attività illecite. Recenti dati indicano un aumento dell'attività nella rete CovertNetwork-1658, suggerendo che gli operatori stiano adattando le loro strategie in risposta alle misure difensive adottate dalle vittime.

Microsoft ha fornito una serie di raccomandazioni per aiutare le organizzazioni a difendersi da questo tipo di minaccia. In primo luogo, viene sottolineata l'importanza di pratiche evolute nella gestione delle credenziali e del rafforzamento dell'autenticazione a più fattori (MFA) per tutti gli account, inclusi quelli esclusi in precedenza. L'azienda consiglia inoltre l'adozione di metodi di autenticazione senza password, come Windows Hello o FIDO, e la disabilitazione dell'autenticazione legacy. Altre misure consigliate includono l'implementazione di criteri di accesso condizionale per controllare l'accesso all'ambiente, il monitoraggio dell'attività degli account con privilegi e l'attivazione della protezione delle identità in Azure AD per rilevare i rischi basati sull'identità.