Chinesische Hacker nutzen Password Spray für Router-Angriffe

In den letzten Monaten hat Microsoft einen Anstieg schädlicher Aktivitäten im Zusammenhang mit einer chinesischen Bedrohungsgruppe namens Storm-0940 beobachtet, die Benutzer durch ausgeklügelte Netz- und Geräteangriffe ins Visier nimmt. Diese Gruppe verwendet hauptsächlich “Password Spray”-Angriffe, die durch ein verdecktes Netzwerk kompromittierter Geräte, bekannt als CovertNetwork-1658, erleichtert werden. Dieses Netzwerk, das größtenteils aus anfälligen SOHO-Routern, insbesondere TP-Link-Modellen, besteht, ermöglicht es Angreifern, umfangreiche Anmeldeversuche durchzuführen und dabei ihre Identität zu verschleiern. Untersuchungen von Microsoft haben gezeigt, dass diese Angriffe, die mindestens seit 2021 aktiv sind, auf sensible Sektoren in Nordamerika und Europa abzielen, darunter Regierungsbehörden, Think Tanks, NGOs und Verteidigungsunternehmen.

Storm-0940 stützt sich auf den Zugriff und die Kontrolle von Routern, um Password Spray-Angriffe zu starten, wobei jeder Versuch oft auf ein Mal pro Konto und Tag beschränkt wird, um eine Erkennung zu vermeiden. Auf diese Weise konnten die Hacker in verschiedene Organisationen eindringen, indem sie gültige Anmeldeinformationen erlangten, die ihnen einen tieferen Zugang zu internen Netzwerken ermöglichen. Sobald ein Router kompromittiert ist, installieren die Angreifer Hintertüren und SOCKS5-Proxys, die einen dauerhaften Zugriff ermöglichen und es schwierig machen, die Quelle der Angriffe zurückzuverfolgen. Microsoft schätzt, dass CovertNetwork-1658 zu jedem Zeitpunkt etwa 8.000 aktive Geräte umfasst, wobei rund 20 % davon aktiv in Password Spray-Operationen involviert sind, was groß angelegte Kampagnen ermöglicht.

Angesichts dieser wachsenden Bedrohung empfiehlt Microsoft robuste Sicherheitspraktiken, einschließlich der Verwendung von Multi-Faktor-Authentifizierung (MFA) und bedingten Zugriffsrichtlinien. Außerdem wird die Verwendung passwortloser Authentifizierungsmethoden wie Windows Hello und FIDO sowie eine regelmäßige Überwachung und Identitätsschutz in Azure AD empfohlen. Durch die Verstärkung dieser Abwehrmechanismen können sich Organisationen besser gegen groß angelegte Credential-Compromise-Operationen schützen, die von Gruppen wie Storm-0940 orchestriert werden. Trotz eines gemeldeten Rückgangs der Aktivitäten von CovertNetwork-1658 nach ihrer Enthüllung warnt Microsoft, dass die Angreifer möglicherweise nach neuer Infrastruktur suchen, was die Notwendigkeit einer kontinuierlichen Wachsamkeit und aktualisierter Sicherheitspraktiken unterstreicht.

Source: Hardware Upgrade

Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.