Duizenden TP-Link-routers werden jarenlang misbruikt door hackers

©Unsplash

Hackers misbruiken TP-Link-routers al jaren lang
3 november om 16:48
Laatste update: 4 november om 19:10
  • Laura Jenny
  • Redacteur

In oktober 2023 werd bekend dat er een kwaadwillend netwerk in de lucht was dat bijna volledig uit TP Link-routers bestaat. Het zou worden gerund door hackers die werken voor de Chinese overheid. 

Het gaat om een botnet dat systemen aanvalt die de clouddienst Microsoft Azure gebruiken. Deze week kwam Microsoft met een toelichting. Het botnet staat bekend onder de naam Botnet-7777, een referentie aan de poort die het misbruikt. Het zou tijdens de piek meer dan 16 duizend apparaten hebben beheerst. Het werd vooral ingezet voor 'password spraying', een methode waarbij hackers hetzelfde wachtwoord gebruiken op verschillende accounts. Omdat elk apparaat zijn toegestane aantal login-pogingen gebruikt, is het moeilijk dit soort aanvallen te detecteren.

Dreiging uit China

Microsoft zegt dat het gaat om dreiging uit China. Inmiddels is het netwerk niet meer zo groot als het was, zo lijkt het. Er wordt gedacht aan achtduizend apparaten per aanval. "Elke bedreigende actor die gebruikmaakt van de CovertNetwork-1658-infrastructuur kan wachtwoordspray-campagnes op grotere schaal uitvoeren en de kans op een succesvolle compromittering van referenties en initiële toegang tot meerdere organisaties in korte tijd enorm vergroten. Deze schaal maakt het mogelijk om accounts in meerdere sectoren en geografische regio's te compromitteren."

Volgens Microsoft is de activiteit rondom CovertNetwork-1658 de afgelopen maanden afgenomen, maar dat komt niet omdat de hackers er geen zin meer in hebben. Ze zijn een nieuwe infrastructuur aan het aanleggen met aangepaste vingerafdrukken. Zodra het de hackers lukt om toegang te krijgen - dat proberen ze vooral te krijgen bij overheidsorganisaties, defensie en juridische diensten - dan proberen ze zo snel mogelijk op allerlei plekken binnen dat geïnfecteerde netwerk te komen. Er worden trojans geïnstalleerd en zoveel mogelijk data doorgesluisd.

Malware

Microsoft heeft nog niet gezegd wat je eraan kunt doen om te zorgen dat er geen verspreiding van het probleem kan plaatsvinden. Veel geïnfecteerde systemen schijnen erbij gebaat te zijn als er periodiek wordt gereboot, omdat de malware niet op de opslag kan schrijven, maar het kan vooralsnog niet worden voorkomen dat apparaten dan opnieuw geïnfecteerd raken. 

Lees meer over internetbeveiliging en blijf op de hoogte met ons WhatsApp-kanaal.