Фахівці з кібербезпеки компанії Microsoft виявили масштабну кібершпигунську операцію, в рамках якої китайські хакери використовують потужний ботнет Quad7 (відомий також як Botnet-7777 та CovertNetwork-1658). Зловмисники встановили контроль над приблизно 8000 маршрутизаторів для проведення цільових атак, спрямованих на викрадення облікових даних користувачів.

Виявлення та технічний аналіз ботнету

Перші сліди шкідливої активності були зафіксовані в жовтні 2023 року дослідником Gi7w0rm, який ідентифікував характерне використання порту 7777. Подальший аналіз, проведений спеціалістами Sekoia та Team Cymru, показав, що атакам піддаються переважно маршрутизатори виробництва TP-Link, Asus, Ruckus, Axentra та Zyxel. Експерти відзначають високий рівень технічної складності використаних інструментів та методів атаки.

Механізми компрометації та розповсюдження

Після успішного проникнення в систему зловмисники впроваджують спеціалізоване шкідливе програмне забезпечення, яке забезпечує віддалений доступ через протокол Telnet. Критичним елементом атаки є встановлення SOCKS5 проксі-серверів, які маскують шкідливий трафік під легітимний, що суттєво ускладнює виявлення несанкціонованої активності.

Стратегія та тактика кіберзлочинців

За даними дослідження Microsoft, ботнет активно експлуатується кількома китайськими хакерськими угрупованнями, включаючи Storm-0940. Зловмисники застосовують тактику обережного проникнення, здійснюючи обмежену кількість спроб авторизації для кожного облікового запису. Статистичні дані свідчать, що у 80% випадків виконується лише одна спроба входу на добу, що дозволяє уникати виявлення системами безпеки.

Наслідки успішних кібератак

Після отримання первинного доступу хакери розширюють свою присутність у цільових мережах, викрадаючи додаткові облікові дані та встановлюючи інструменти віддаленого доступу (RAT). Основною метою цих операцій є збір конфіденційної інформації в рамках масштабної кампанії кібершпигунства.

Незважаючи на те, що точний метод початкової компрометації пристроїв залишається нез’ясованим, дослідники Sekoia зафіксували використання вразливості нульового дня в OpenWRT. Фахівці з кібербезпеки наполегливо рекомендують адміністраторам мереж посилити моніторинг підозрілої активності, регулярно оновлювати прошивки мережевого обладнання та впровадити багатофакторну автентифікацію для захисту критичних систем.