Sono passati due anni dall'emergenza di Mozi e, nonostante l'arresto del suo presunto autore, la botnet continua a diffondersi.
Mozi è stato scoperto nel 2019 da 360 Netlab e nei due anni successivi è passato da una piccola operazione a una botnet che “rappresentava una percentuale estremamente elevata del traffico IoT [Internet of Things] al suo picco.”
Secondo Netlab (tradotto), Mozi ha rappresentato oltre 1,5 milioni di nodi infetti, di cui la maggior parte – 830.000 – proviene dalla Cina.
Mozi è una botnet P2P che utilizza il protocollo DHT. Per diffondersi, la botnet abusa di password Telnet deboli e di exploit noti per colpire dispositivi di rete, IoT e videoregistratori, tra gli altri prodotti connessi a Internet.
La botnet è in grado di asservire i dispositivi per lanciare attacchi DDoS (Distributed Denial-of-Service), lanciare payload, rubare dati ed eseguire comandi di sistema. Se i router sono infetti, ciò potrebbe portare ad attacchi Man-in-The-Middle (MITM).
All'inizio di questo mese, i ricercatori della sicurezza Microsoft IoT hanno affermato che Mozi si è evoluto per “ottenere la persistenza sui gateway di rete prodotti da Netgear, Huawei e ZTE” adattando i suoi meccanismi di persistenza a seconda dell'architettura di ciascun dispositivo.
A luglio, Netlab ha affermato che la società di sicurezza informatica aveva assistito le forze dell'ordine per arrestare il presunto sviluppatore di Mozi e, pertanto, “non pensiamo che continuerà ad essere aggiornato per un bel po' di tempo a venire. ”
Tuttavia, la botnet continua a vivere e martedì l'azienda ha fornito la sua opinione sul perché.
“Sappiamo che Mozi utilizza una struttura di rete P2P e uno dei “vantaggi” di una rete P2P è che è robusta, quindi anche se alcuni nodi si interrompono, l'intera rete andrà avanti e i nodi rimanenti infettano ancora altri dispositivi vulnerabili”, afferma Netlab. “Ecco perché possiamo ancora vedere la diffusione di Mozi”.
Secondo il team, oltre al protocollo principale Mozi_ftp, la scoperta di malware che utilizza la stessa configurazione P2P, Mozi_ssh, suggerisce che la botnet viene utilizzata anche per incassare il mining illegale di criptovalute. Inoltre, gli utenti stanno sfruttando il modulo di configurazione DHT di Mozi e creando nuovi nodi funzionali, che secondo il team consentono loro di “sviluppare rapidamente i programmi necessari per i nuovi nodi funzionali, il che è molto conveniente”.
“Questa comodità è una delle ragioni della rapida espansione della botnet Mozi”, ha aggiunto Netlab.
Il team ha anche affermato che in un campione di botnet soprannominato v2, catturato lo scorso anno, suggerisce che gli aggiornamenti a Mozi si sono concentrati sulla separazione dei nodi di controllo dai nodi “mozi_bot”, nonché sul miglioramento dell'efficienza. È possibile che queste modifiche siano state apportate dagli autori per affittare la rete ad altri attori delle minacce.
“I campioni botnet di Mozi hanno smesso di aggiornarsi per un po' di tempo, ma questo non significa che la minaccia rappresentata da Mozi sia finita”, affermano i ricercatori. “Poiché le parti della rete che sono già diffuse su Internet hanno la capacità di continuare a essere infettate, ogni giorno vengono infettati nuovi dispositivi”.
Netlab prevede che di settimana in settimana le dimensioni della botnet diminuiranno gradualmente, ma è probabile che l'impatto di Mozi si farà sentire ancora per un po'.
Copertura precedente e correlata
Questa botnet sta abusando delle blockchain di Bitcoin per rimanere nell'ombra
Questa botnet malware che diffonde ransomware non se ne andrà
Ora questa botnet sta cercando server Microsoft Exchange senza patch
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 