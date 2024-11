Les pirates informatiques travaillant pour le compte du gouvernement chinois utilisent un botnet de milliers de routeurs, caméras et autres appareils connectés à Internet pour effectuer des attaques par pulvérisation de mots de passe très évasives contre les utilisateurs du service cloud Azure de Microsoft, a averti jeudi la société.

Le réseau malveillant, composé presque entièrement de routeurs TP-Link, a été documenté pour la première fois en octobre 2023 par un chercheur qui l’a nommé Botnet-7777. L’ensemble géographiquement dispersé de plus de 16 000 appareils compromis à son apogée doit son nom au fait qu’il expose ses logiciels malveillants sur le port 7777.

Compromission de compte à grande échelle

En juillet et à nouveau en août de cette année, des chercheurs en sécurité de Serbie et L’équipe Cymru a signalé que le botnet était toujours opérationnel. Les trois rapports indiquent que le Botnet-7777 était utilisé pour effectuer habilement une pulvérisation de mots de passe, une forme d’attaque qui envoie un grand nombre de tentatives de connexion à partir de nombreuses adresses IP différentes. Étant donné que chaque appareil individuel limite les tentatives de connexion, la campagne de piratage de compte soigneusement coordonnée est difficile à détecter par le service ciblé.

Jeudi, Microsoft signalé que CovertNetwork-1658 – le nom utilisé par Microsoft pour suivre le botnet – est utilisé par plusieurs acteurs chinois de la menace dans le but de compromettre les comptes Azure ciblés. La société a déclaré que les attaques étaient « très évasives » parce que le botnet, désormais estimé à environ 8 000 personnes en moyenne, s’efforce de dissimuler l’activité malveillante.

« Tout acteur malveillant utilisant l’infrastructure CovertNetwork-1658 pourrait mener des campagnes de pulvérisation de mots de passe à plus grande échelle et augmenter considérablement la probabilité de compromission réussie des informations d’identification et d’accès initial à plusieurs organisations dans un court laps de temps », ont écrit les responsables de Microsoft. « Cette ampleur, combinée à la rotation opérationnelle rapide des informations d’identification compromises entre CovertNetwork-1658 et les acteurs de la menace chinoise, permet le potentiel de compromission de comptes dans plusieurs secteurs et régions géographiques.

Certaines des caractéristiques qui rendent la détection difficile sont :