Des Hackers Chinois Utilisent le Password Spray pour Attaquer des Routeurs

Au cours des derniers mois, Microsoft a observé une augmentation des activités malveillantes liées à un groupe de menaces chinois connu sous le nom de Storm-0940, qui cible les utilisateurs en exploitant des vulnérabilités sophistiquées de réseaux et de dispositifs. Ce groupe utilise principalement des attaques de “password spray” facilitées par un réseau caché de dispositifs compromis, identifié sous le nom de CovertNetwork-1658. Ce réseau, composé en grande partie de routeurs SOHO vulnérables, en particulier des modèles TP-Link, permet aux attaquants de mener des tentatives d’accès massives tout en masquant leur identité. Les recherches de Microsoft ont révélé que ces attaques, actives depuis au moins 2021, ciblent des secteurs sensibles en Amérique du Nord et en Europe, incluant des agences gouvernementales, des think tanks, des ONG et des entreprises de défense.

Storm-0940 base ses attaques sur l’accès et le contrôle de routeurs pour lancer des attaques de type password spray, limitant souvent chaque tentative à une par compte et par jour pour éviter la détection. Grâce à cette méthode, les hackers ont infiltré diverses organisations en obtenant des identifiants de connexion valides, permettant un accès plus profond aux réseaux internes. Une fois qu’un routeur est compromis, les attaquants installent des portes dérobées et des serveurs proxy SOCKS5, permettant un accès continu et rendant difficile le traçage de la source des attaques. Microsoft estime que CovertNetwork-1658 compte environ 8 000 dispositifs actifs à tout moment, avec 20 % d’entre eux activement impliqués dans des opérations de password spray, facilitant des campagnes à grande échelle.

Pour contrer cette menace croissante, Microsoft recommande des pratiques de sécurité robustes, incluant l’utilisation de l’authentification multi-facteurs (MFA) et des politiques d’accès conditionnel. L’utilisation de méthodes d’authentification sans mot de passe, telles que Windows Hello et FIDO, est également encouragée, ainsi que la surveillance régulière et la protection de l’identité dans Azure AD. En renforçant ces défenses, les organisations peuvent mieux se protéger contre les compromissions de grande envergure orchestrées par des groupes tels que Storm-0940. Malgré une diminution de l’activité de CovertNetwork-1658 après son exposition, Microsoft avertit que les attaquants pourraient rechercher de nouvelles infrastructures, soulignant la nécessité d’une vigilance continue et de pratiques de sécurité mises à jour.

Source: Hardware Upgrade

La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.