据《华尔街日报》报道,美国政府正在调查与网络攻击相关的TP-Link路由器是否构成国家安全风险。根据该报道,美国政府正在考虑从2025年开始禁止TP-Link路由器。TP-Link占据了美国65%的市场份额,是亚马逊上的首选,并为美国国防部提供互联网通信服务。今年8月,两名美国议员敦促拜登政府调查TP-Link,因为他们担心其设备可能被用于网络攻击。
路透社报道称:“美国商务部、国防部和司法部已对该公司展开单独调查,当局的目标是早在明年就禁止在美国销售TP-Link路由器。” 该报援引知情人士的话报道称:“商务部的一个办公室甚至向该公司发出了传票,而国防部则在今年早些时候启动了对中国制造的路由器的调查。” 超过300家美国互联网服务提供商默认提供TP-Link路由器,国防部、美国国家航空航天局(NASA)和美国缉毒局(DEA)等政府机构也在使用这些设备。
美国当局警告称,中国可能会利用其路由器对美国基础设施发动网络攻击。微软警告称,10月份,据报道,中国威胁行为者在密码喷洒攻击中使用了Quad7僵尸网络来窃取凭证。Quad7僵尸网络,又名CovertNetwork-1658或xlogin,最早是由安全研究员Gi7w0rm在2023年夏天发现的。2024年9月,Sekoia TDR团队报告称,他们发现了与Quad7僵尸网络行动相关的其他植入程序。
该僵尸网络的运营者正将目标瞄准多个SOHO设备和VPN设备,包括TP-LINK、Zyxel、Asus、D-Link和Netgear,利用已知和以前未知的漏洞。运营者维护僵尸网络是为了对VPN、Telnet、SSH和Microsoft 365账户发动分布式暴力攻击。Quad7僵尸网络主要由受感染的TP-Link路由器组成,这些路由器开放了用于管理和代理用途的端口。这些路由器被用来转发对Microsoft 365账户的暴力攻击。类似的僵尸网络,如alogin和rlogin,则以其他设备为目标,包括华硕路由器(alogin)和Ruckus无线设备(rlogin),每个设备都有不同的开放端口用于管理和代理功能。专家注意到,虽然alogin和xlogin拥有数千台受感染的设备,但rlogin只有213台。其他变种,如axlogin和zylogin,分别以Axentra NAS和Zyxel VPN为目标,但它们规模较小,也较少被观察到。
微软现在表示,包括Storm-0940在内的中国威胁行为者正在使用通过密码喷洒攻击从CovertNetwork-1658获得的凭证。Storm-0940自2021年以来一直活跃,它通过密码喷洒、暴力攻击和利用网络边缘服务来获取访问权限,目标是北美和欧洲的政府、法律、国防和非政府组织等部门。微软已通知受影响的客户,并分享了有关CovertNetwork-1658、Storm-0940策略的详细信息,以及建议的缓解措施,以帮助保护受影响的环境。
微软发布的报告写道:“微软评估认为,位于中国的某个威胁行为者建立并维护着这个网络。该威胁行为者利用路由器中的一个漏洞来获得远程代码执行能力。我们正在继续调查该威胁行为者入侵这些路由器的具体漏洞利用方式。微软评估认为,多个中国威胁行为者使用从CovertNetwork-1658密码喷洒操作中获取的凭证来执行计算机网络利用(CNE)活动。”微软注意到,通过CovertNetwork-1658基础设施进行的密码喷洒活动向目标组织的许多账户提交的登录尝试次数非常少。在大多数活动中,约80%的活动中,CovertNetwork-1658每天每个账户只进行一次登录尝试。
由于 CovertNetwork-1658 使用受感染的 SOHO IP 地址(数千个 IP 地址的轮换池,节点活跃时间约为 90 天)以及小规模的密码喷洒攻击(避免了基于多次失败登录的典型检测),因此难以追踪。回到现在,TP-Link 美国子公司的一位发言人告诉《华尔街日报》,该公司欢迎任何与美国政府接触的机会,以证明其安全措施符合行业标准,并展示其对美国市场、消费者和解决国家安全风险的持续承诺。
原文始发于微信公众号(黑猫安全):美国考虑因网络安全问题禁止TP-Link路由器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3531331.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论