Microsoft avertit que les acteurs de la menace chinois utilisent le botnet Quad 7, compromis par des routeurs SOHO piratés, pour voler des informations d’identification lors d’attaques par pulvérisation de mots de passe.
Quad 7, également connu sous le nom de Covert Network – 1658 ou login, est un botnet découvert pour la première fois par le chercheur en sécurité Gi7w0rm qui se compose de routeurs SOHO compromis.
Des rapports ultérieurs de Sekoia et de l’équipe Cymru ont rapporté que les acteurs de la menace ciblent les routeurs et les périphériques réseau de TP-Link, ASUS, les périphériques sans fil Ruckus, les périphériques NAS Axentra et les appliances VPN Zyxel.
Lorsque les appareils sont compromis, les acteurs de la menace déploient des logiciels malveillants personnalisés qui permettent un accès à distance aux appareils via Telnet, qui affichent des bannières de bienvenue uniques basées sur l’appareil compromis:
- xlogin-Telnet lié au port TCP 7777 sur les routeurs TP-Link
- alogin-Telnet lié au port TCP 63256 sur les routeurs ASUS
- rlogin-Telnet lié au port TCP 63210 sur les périphériques sans fil Ruckus.
- bannière axlogin-Telnet sur les périphériques NAS Axentra (port inconnu car non vu à l’état sauvage)
- connexion zyl-Telnet liée au port TCP 3256 sur les appliances VPN Zyxel
Autres installés, les auteurs de la menace installent un serveur proxy SOCKS5 qui est utilisé pour proxy, ou relayer, les attaques malveillantes tout en se fondant dans le trafic légitime pour échapper à la détection.
Bien que le botnet n’ait pas été attribué à un acteur de la menace en particulier, l’équipe Cymru a suivi le logiciel proxy utilisé sur ces routeurs jusqu’à un utilisateur vivant à Hangzhou, en Chine.
Botnet Quad7 utilisé pour les attaques par pulvérisation de mots de passe
Microsoft a révélé aujourd’hui que le botnet Quad7 opérerait depuis la Chine, plusieurs acteurs de la menace chinois utilisant les routeurs compromis pour voler des informations d’identification via des attaques par pulvérisation de mots de passe.
« Microsoft évalue que les informations d’identification acquises à partir d’opérations de pulvérisation de mots de passe CovertNetwork-1658 sont utilisées par plusieurs acteurs de la menace chinoise », indique Microsoft dans un nouveau rapport.
« En particulier, Microsoft a observé l’acteur de la menace chinoise Storm-0940 en utilisant les informations d’identification de CovertNetwork-1658. »
Lors des attaques par pulvérisation de mots de passe, Microsoft affirme que les auteurs de la menace ne sont pas agressifs, ne tentant de se connecter que quelques fois par compte, de manière à éviter de déclencher des alarmes.
« Dans ces campagnes, CovertNetwork-1658 soumet un très petit nombre de tentatives de connexion à de nombreux comptes d’une organisation cible », a partagé Microsoft.
« Dans environ 80% des cas, CovertNetwork-1658 n’effectue qu’une seule tentative de connexion par compte et par jour. »
Cependant, une fois les informations d’identification volées, Microsoft a observé que Storm-0940 les utilisait pour violer des réseaux ciblés, parfois le jour même de leur vol.
Une fois le réseau piraté, les acteurs de la menace se propagent davantage à travers le réseau en vidant les informations d’identification et en installant des RATS et des outils proxy pour la persistance sur le réseau.
Le but ultime de l’attaque est d’exfiltrer des données du réseau ciblé, probablement à des fins de cyberespionnage.
À ce jour, les chercheurs n’ont pas déterminé précisément comment les acteurs de la menace Quad7 compromettent les routeurs SOHO et autres périphériques réseau.
Cependant, Sekoia a observé que l’un de ses pots de miel était violé par les acteurs de la menace Quad7 utilisant un jour zéro OpenWRT.
« Nous avons attendu moins d’une semaine avant d’observer une attaque notable qui a enchaîné une divulgation de fichier non authentifiée qui semble ne pas être publique pour le moment (selon une recherche Google) et une injection de commande », a expliqué Sekoia en juillet.
La manière dont les acteurs de la menace piratent d’autres appareils reste un mystère.