Det har gått två år sedan Mozis nödsituation, och trots gripandet av den påstådda författaren fortsätter botnätet att spridas.
Mozi upptäcktes 2019 av 360 Netlab och har under de två åren sedan vuxit från en liten operation till ett botnät som “stod för en extremt hög andel av [Internet of Things] IoT -trafik vid dess topp.”
Enligt Netlab (översatt) har Mozi svarat för över 1,5 miljoner infekterade noder, varav majoriteten – 830 000 – kommer från Kina.
Mozi är ett P2P -botnät som använder DHT -protokollet. För att sprida sig missbrukar botnet svaga Telnet-lösenord och kända utnyttjanden för att rikta in sig på nätverksenheter, IoT och videoinspelare, bland andra internetanslutna produkter.
Botnätet kan förslava enheter för att starta DDoS-attacker (Distributed Denial-of-Service), starta nyttolast, stjäla data och utföra systemkommandon. Om routrar är infekterade kan detta leda till MITM-attacker (Man-in-the-Middle).
Tidigare denna månad sa Microsoft IoT -säkerhetsforskare att Mozi har utvecklats för att “uppnå uthållighet på nätverksportar som tillverkas av Netgear, Huawei och ZTE” genom att anpassa dess uthållighetsmekanismer beroende på varje enhets arkitektur.
I juli hävdade Netlab att cybersäkerhetsföretaget hade hjälpt brottsbekämpning att arrestera den påstådda utvecklaren av Mozi, och därför tror vi inte att det kommer att fortsätta att uppdateras under ganska lång tid framöver. ”
Botnätet lever dock vidare och på tisdagen har företaget lämnat sin åsikt om varför.
“Vi vet att Mozi använder en P2P -nätverksstruktur, och en av” fördelarna “med ett P2P -nätverk är att det är robust, så även om några av noderna går ner fortsätter hela nätverket och de återstående noderna kommer infekterar fortfarande andra sårbara enheter, säger Netlab. “Det är därför vi fortfarande kan se Mozi sprida sig.”
Enligt teamet tyder upptäckten av skadlig programvara som använder samma P2P -konfiguration – Mozi_ssh – vid sidan av huvud Mozi_ftp -protokollet om att botnätet också används för att tjäna pengar på illegal cryptocurrency mining. Dessutom utnyttjar användarna Mozis DHT -konfigurationsmodul och skapar nya, funktionella noder för den, vilket teamet säger låter dem “snabbt utveckla de program som behövs för nya funktionella noder, vilket är mycket bekvämt.”
“Denna bekvämlighet är en av anledningarna till den snabba expansionen av Mozi -botnätet”, tillade Netlab.
Teamet sa också att i ett urval av botnet -dubbade v2: erna, som fångades förra året, föreslår att uppdateringar till Mozi har fokuserats på att separera kontrollnoder från “mozi_bot” -noder, samt förbättra effektiviteten. Det kan vara så att dessa ändringar gjordes av författarna för att hyra nätverket till andra hotaktörer.
“Mozi -botnets prover har slutat uppdateras ganska länge, men det betyder inte att hotet från Mozi har upphört”, säger forskarna. “Eftersom de delar av nätverket som redan är spridda över internet har förmågan att fortsätta att smittas, infekteras nya enheter varje dag.”
Netlab förutspår att storleken på botnätet kommer att minska gradvis från vecka till vecka, men det är troligt att Mozis inverkan kommer att märkas under en tid framöver.
Tidigare och relaterad täckning
Detta botnät missbrukar Bitcoin-blockchains för att stanna i skuggorna
Det här botans-spridande malware-botnet kommer bara inte att försvinna
Nu botar detta botnet efter opatchade Microsoft Exchange -servrar
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 