Тысячи взломанных роутеров TP-Link тайно использовались в атаках годами

Сеть, которую Microsoft называет CovertNetwork-1658, насчитывает более 8000 зараженных устройств и в основном нацелена на учетные записи Azure в Северной Америке и Европе. Эта инфраструктура, также известная как Botnet-7777, применяет уникальную тактику с использованием малых объемов попыток входа с разных IP-адресов, что позволяет ей обходить стандартные методы обнаружения, отмечают исследователи.

Одна из наиболее активных групп, использующая этот ботнет, известная как Storm-0940, нацелена на правительственные организации, аналитические центры и оборонные компании. Злоумышленники используют украденные учетные данные для доступа, перемещаются по сети и устанавливают удаленные инструменты для наблюдения. Устройства в ботнете сохраняют устойчивость примерно на 90 дней и меняют IP-адреса, что еще больше затрудняет их обнаружение.

Microsoft не предоставила конкретных рекомендаций для пользователей роутеров TP-Link, но эксперты отмечают, что периодическая перезагрузка может временно удалить вредоносное ПО, которое не сохраняется после перезапуска.