ไมโครซอฟท์รายงานถึงกลุ่มแฮกเกอร์ CovertNetwork-1658 จากจีนที่อาศัยช่องโหว่ของเราท์เตอร์ TP-Link เป็นส่วนใหญ่ เพื่อใช้เราท์เตอร์เหล่านี้ยิงรหัสผ่านเหยื่ออีกทีหนึ่ง

เมื่อแฮกเกอร์เจาะเราท์เตอร์ได้แล้ว จะติดตั้งโปรแกรมลงในเฟิร์มแวร์ และเปิดช่องทางรับคำสั่งผ่านพอร์ต 7777 จากนั้นใช้เราท์เตอร์เหล่านี้ยิงรหัสผ่านแบบ password spray ที่เราท์เตอร์แต่ละตัวจะยิงรหัสผ่านแต่ละบัญชีเพียง 1-2 ครั้งต่อวันเท่านั้น แนวทางนี้ทำให้องค์กรอย่างไมโครซอฟท์จับได้ยาก เพราะอินเทอร์เน็ตบ้านเหล่านี้มักเปลี่ยนไอพีไปเรื่อยๆ อยู่แล้ว และการใส่รหัสผ่านผิดเพียงครั้งเดียวก็จะบล็อคไอพีได้ยาก ก่อนหนัานี้มีทีมวิจัย Sekoia และ Team Cymru เคยรายงานถึงกลุ่มนี้ และหลังรายงานปริมาณการโจมตีก็ลดลงอย่างรวดเร็ว แต่ไมโครซอฟท์คาดว่าคนร้ายไม่ได้หยุดโจมตีจริงๆ แค่ปรับเปลี่ยนซอฟต์แวร์ไม่ให้ทำงานเหมือนที่เคยมีการรายงานมา (เช่นการเปิดพอร์ต 7777)

ไมโครซอฟท์พบว่าเมื่อ CovertNetwork-1658 ยิงรหัสผ่านสำเร็จแล้ว จะถูกกลุ่ม Storm-0940 นำไปใช้งานทำให้สองกลุ่มนี้น่าจะมีความเกี่ยวข้องกัน โดย Storm-0940 จะเข้าสแกนหารหัสผ่านอื่นๆ เพิ่มเติม ติดตั้งซอฟต์แวร์ในเครื่อของเหยื่อ

การโจมตี password spray กลายเป็นการโจมตีสำคัญในช่วงหลัง เพราะการยิงรหัสผ่านแบบเดิมๆ ทำได้ยากแล้ว ไมโครซอฟท์แนะนำให้ลูกค้าตรวจสอบแนวทางการใช้รหัสผ่านที่ดี ไม่ว่าจะเป็นการให้ความรู้พนักงานไม่ให้ใช้รหัสผ่านซ้ำกัน, เปิดการล็อกอินสองขั้นตอน, หรือเปิดใช้การล็อกอินแบบไม่มีรหัสผ่านไปเลย ตลอดจนการคอนฟิกมาตรฐานการความปลอดภัยบน Azure AD เพิ่มเติม

ที่มา - Microsoft