La minaccia della botnet Quad7
Recentemente, Microsoft ha lanciato un allerta riguardo a una grave minaccia informatica proveniente da una botnet cinese nota come Quad7. Questa rete di computer infetti sta conducendo attacchi massicci contro diverse organizzazioni occidentali, utilizzando tecniche avanzate e insidiose. Il gruppo di hacker, identificato come Storm-0940, ha messo in atto una strategia di attacco che si basa su tentativi sistematici di accesso ai sistemi, impiegando una tecnica conosciuta come “password spray”. Questo metodo consiste nel tentare di accedere a più account utilizzando password diverse, rendendo difficile il rilevamento delle loro attività malevole.
Obiettivi e modus operandi degli attaccanti
Secondo le analisi condotte dagli esperti di sicurezza di Microsoft, la campagna di attacchi orchestrata da Quad7 ha come obiettivo principale lo spionaggio.
Le vittime preferite includono think tank, organizzazioni governative, ONG, studi legali e aziende del settore della difesa. La sofisticazione degli attacchi suggerisce che si tratta di un’operazione meticolosamente pianificata. Gli hacker, infatti, utilizzano un approccio molto cauto: in circa l’80% dei casi, tentano di effettuare una sola connessione per account al giorno, evitando così di attirare l’attenzione dei sistemi di sicurezza tradizionali.
La continua evoluzione della botnet
La botnet Quad7, il cui nome deriva dalla sua preferenza per la porta 7777, è in costante evoluzione. Inizialmente, era stata scoperta dal ricercatore Gi7w0rm e dal team Sekoia, e si concentrava esclusivamente sui router TP-Link. Tuttavia, nel tempo, il suo arsenale si è ampliato, includendo router ASUS, punti di accesso VPN Zyxel, router wireless Ruckus e media server Axentra.
Gli aggressori hanno sviluppato malware specifico per ciascun tipo di dispositivo, creando cluster di infezione che variano in dimensioni e complessità. Alcuni di questi cluster possono contenere migliaia di dispositivi infetti, mentre altri ne hanno solo pochi.
Raccomandazioni per la sicurezza
La rapidità con cui gli hacker possono compromettere i sistemi è particolarmente preoccupante. In alcuni casi, i dispositivi vengono infettati lo stesso giorno in cui vengono scoperte le password, permettendo agli aggressori di installare immediatamente strumenti di accesso remoto (RAT) e proxy per mantenere il controllo. Pertanto, è fondamentale prestare attenzione se si utilizzano router o dispositivi menzionati, poiché la loro sicurezza potrebbe essere stata compromessa dalla botnet Quad7. Gli utenti sono invitati a implementare misure di sicurezza aggiuntive, come l’uso di password complesse e l’aggiornamento regolare del firmware dei dispositivi.