Digital

Microsoft lancia l’allarme: nuovi attacchi hacker ai danni degli utenti

Stando a un report di Microsoft, ad oggi migliaia di dispositivi e utenti sono stati colpiti dagli attacchi di questi hacker. Ecco di cosa si tratta

Redazione

Microsoft ha rilevato un incremento di attività illecite mirate a rubare credenziali tramite attacchi di “password spray”. Questi attacchi, particolarmente sofisticati, sono stati collegati a un network di dispositivi compromessi, noto come CovertNetwork-1658, che negli ultimi anni ha rappresentato un grande supporto per gruppi hacker come Storm-0940, nonché una minaccia costante per organizzazioni in Nord America ed Europa.

CovertNetwork-1658, la rete hacker contro i clienti Microsoft Azure

Nel suo report, Microsoft descrive CovertNetwork-1658 come una rete di dispositivi, principalmente router SOHO (Small Office/Home Office), compromessi e utilizzati come punti di uscita per gli attacchi.

Una volta compromesso un dispositivo, gli hacker preparano il router per le operazioni di password spray. Questo processo include il download di specifici strumenti e software di controllo, tra cui un server SOCKS5 per avviare connessioni proxy. Questi passaggi permettono ai cybercriminali di lanciare tentativi di accesso dai router compromessi, mascherando la loro origine e rendendo difficile il monitoraggio.

Nell’indagine di Microsoft, è emerso che CovertNetwork-1658 ha rubato informazioni a clienti Azure almeno da agosto 2023, raggiungendo nella sua attività un picco di volume di oltre 16.000 dispositivi compromessi grazie appunto a una vulnerabilità presente nei router TP-Link.

La tattica del password spray

CovertNetwork-1658 utilizza una tattica mirata e poco rilevabile, ovvero quella delle password spray. Questa tecnica prevede l’accesso ad account non compromessi usando combinazioni di password e login rubate, presumendo che la maggior parte degli utenti usi sempre la stessa combinazione di nomi utente e password su tutti i siti in cui è necessario autenticarsi.

Durante gli attacchi di password spray, gli hacker effettuano pochi tentativi di accesso per account ogni giorno, con una sola richiesta di accesso per ogni account nel 80% dei casi. Questo metodo a bassa frequenza fa in modo che gli attacchi passino inosservati nei controlli di sicurezza standard, che spesso si concentrano su tentativi ripetuti di accesso fallito.

Storm-0940, il gruppo dietro agli attacchi

Il gruppo di hacker cinesi Storm-0940 è uno dei principali utilizzatori delle credenziali rubate tramite CovertNetwork-1658. Attivo almeno dal 2021, Storm-0940 è noto per colpire un ampio ventaglio di organizzazioni, tra cui think tank, enti governativi, ONG, studi legali e aziende del settore della difesa, in Nord America e in Europa.

Storm-0940 si serve di credenziali rubate per ottenere accesso iniziale ai sistemi bersaglio, spesso riuscendo a penetrare le difese di rete utilizzando strumenti di scanning e dumping delle credenziali. Questo gruppo mira a mantenere l’accesso ai sistemi violati tramite l’installazione di trojan di accesso remoto (RAT) e altri strumenti di persistenza, aumentando così il rischio di compromissione a lungo termine.

Secondo Microsoft, la stretta collaborazione tra CovertNetwork-1658 e Storm-0940 consente a quest’ultimo di condurre campagne su larga scala in un breve periodo di tempo, grazie alla rapida rotazione delle credenziali rubate.

Una collaborazione che forse continuerà ancora per molto. Sebbene Microsoft abbia stimato che la recente esposizione pubblica delle ultime attività della rete stesse portando a una diminuzione del suo utilizzo, recenti dati indicano in realtà un aumento dell’attività nella rete stessa, suggerendo che gli operatori stiano adattando le loro strategie in risposta alle misure difensive adottate dalle vittime.

Le misure di difesa suggerite da Microsoft contro gli hacker

Microsoft consiglia alle organizzazioni di adottare strategie di difesa mirate a contrastare gli attacchi di password spray. Le misure chiave includono:

  • Educare gli utenti sul mantenimento delle credenziali e sull’importanza di non riutilizzare password.
  • Implementare l’autenticazione multi-fattore (MFA) per tutti gli account, riducendo così l’impatto di credenziali compromesse.
  • Passare a metodi di autenticazione senza password, come Azure MFA, Windows Hello e chiavi FIDO, per ridurre la dipendenza dalle password tradizionali.
  • Bloccare l’autenticazione legacy con Azure AD e impostare policy di accesso condizionato per limitare l’accesso basato su criteri specifici.
  • Monitorare e disabilitare account inutilizzati, oltre a implementare politiche di blocco per tentativi di accesso anomali.

Iscriviti alla newsletter

Non inviamo spam! Leggi la nostra Informativa sulla privacy per avere maggiori informazioni.

Articoli correlati

Google Foto rende più facile la condivisione di immagini e video con questa nuova e semplice impostazione

Ora per gli utenti di Google Foto sarà ancora più facile e veloce la condivisione di immagini e video con i propri amici. Ecco di cosa si tratta

AI in legal tech: helping lawyers work smarter
La legge si fa smart: AI e legal tech al servizio di clienti e studi

Strumenti intelligenti, chatbot e previsioni legali: la rivoluzione AI cambia il volto degli studi e l’accesso alla giustizia