Dette er grunnen til at Mozi -botnettet vil fortsette

0
114

 Charlie Osborne

Av Charlie Osborne for Zero Day | 1. september 2021 – 11:53 GMT (12:53 BST) | Tema: Sikkerhet

Det har gått to år siden nødssituasjonen til Mozi, og til tross for arrestasjonen av den påståtte forfatteren, fortsetter botnettet å spre seg.

Mozi ble oppdaget i 2019 av 360 Netlab, og har på de to årene siden vokst fra en liten operasjon til et botnett som “sto for en ekstremt høy andel av [Internet of Things] IoT -trafikk på sin side topp.”

Ifølge Netlab (oversatt) har Mozi stått for over 1,5 millioner infiserte noder, hvorav flertallet – 830 000 – stammer fra Kina.

Mozi er et P2P -botnett som bruker DHT -protokollen. For å spre seg, misbruker botnet svake Telnet-passord og kjente utnyttelser for å målrette mot nettverksenheter, IoT og videoopptakere, blant andre Internett-tilkoblede produkter.

Botnettet kan slavebinde enheter for å starte DDoS-angrep (Distributed Denial-of-Service), starte nyttelast, stjele data og utføre systemkommandoer. Hvis rutere er infisert, kan dette føre til Man-in-The-Middle (MITM) angrep.

Tidligere denne måneden sa Microsoft IoT -sikkerhetsforskere at Mozi har utviklet seg til å “oppnå utholdenhet på nettverksgateways produsert av Netgear, Huawei og ZTE” ved å tilpasse utholdenhetsmekanismene avhengig av hver enhets arkitektur.

I juli hevdet Netlab at cybersikkerhetsfirmaet hadde hjulpet politimyndigheter med å arrestere den påståtte utvikleren av Mozi, og derfor tror vi ikke det vil fortsette å bli oppdatert i lang tid fremover. ”

Botnet lever imidlertid videre, og tirsdag har selskapet gitt sin mening om hvorfor.

“Vi vet at Mozi bruker en P2P -nettverksstruktur, og en av” fordelene “med et P2P -nettverk er at det er robust, så selv om noen av nodene går ned, vil hele nettverket fortsette, og de resterende nodene vil fortsatt infiserer andre sårbare enheter, sier Netlab. “Derfor kan vi fortsatt se Mozi spre seg.”

Ifølge teamet, ved siden av hoved Mozi_ftp -protokollen, tyder oppdagelsen av skadelig programvare som bruker det samme P2P -oppsettet – Mozi_ssh – at botnettet også brukes til å tjene penger på ulovlig kryptovaluta -gruvedrift. I tillegg utnytter brukerne Mozis DHT -konfigurasjonsmodul og lager nye, funksjonelle noder for den, som teamet sier lar dem “raskt utvikle programmene som trengs for nye funksjonelle noder, noe som er veldig praktisk.”

“Denne bekvemmeligheten er en av årsakene til den raske utvidelsen av Mozi -botnettet,” la Netlab til.

Teamet sa også at i et utvalg av botnettet kalt v2s, fanget i fjor, antyder at oppdateringer til Mozi har vært fokusert på å skille kontrollnoder fra “mozi_bot” -noder, samt forbedre effektiviteten. Det kan være at disse endringene ble gjort av forfatterne for å lease nettverket til andre trusselaktører.

“Mozi botnet -prøvene har sluttet å oppdatere ganske lenge, men dette betyr ikke at trusselen fra Mozi er avsluttet,” sier forskerne. “Siden delene av nettverket som allerede er spredt over internett har muligheten til å fortsette å bli infisert, blir nye enheter infisert hver dag.”

Netlab spår at størrelsen på botnettet gradvis vil minke den uken for uken, men det er sannsynlig at effekten av Mozi vil merkes en stund fremover.

Tidligere og relatert dekning

Dette botnettet misbruker Bitcoin-blokker for å holde seg i skyggen
Denne ransomware-spredende malware-botnet forsvinner bare ikke. Nå jakter dette botnettet etter upatchede Microsoft Exchange -servere

Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0

Relaterte emner:

Sikkerhet TV Datahåndtering CXO datasentre

Av Charlie Osborne for Zero Day | 1. september 2021 – 11:53 GMT (12:53 BST) | Tema: Sikkerhet