Prevádzkovatelia botnetu Mozi IoT boli vzatí do väzby čínskymi orgánmi činnými v trestnom konaní takmer dva roky po tom, čo sa malvér objavil v oblasti hrozieb v septembri 2019.
Správy o zatknutí, ktoré sa pôvodne udialo v júni, zverejnili výskumníci z Netlabu, divízie sieťového výskumu čínskej spoločnosti pre internetovú bezpečnosť Qihoo 360, začiatkom tohto pondelka, pričom podrobne opísali jej zapojenie do operácie.
„Mozi používa P2P [peer-to-peer] štruktúra siete a jednou z „výhod“ siete P2P je, že je robustná, takže aj keď niektoré uzly vypadnú, celá sieť bude pokračovať a zvyšné uzly budú stále infikovať ďalšie zraniteľné zariadenia, tj. prečo stále môžeme vidieť, ako sa Mozi šíri,“ povedal Netlab, ktorý botnet prvýkrát spozoroval koncom roka 2019.
Vývoj prichádza aj necelé dva týždne po tom, čo centrum Microsoft Security Threat Intelligence Center odhalilo nové schopnosti botnetu, ktoré mu umožňujú zasahovať do webovej prevádzky infikovaných systémov pomocou techník, ako je spoofing DNS a únos relácií HTTP s cieľom presmerovať používateľov na škodlivé domény. .
Mozi, ktorý sa vyvinul zo zdrojového kódu niekoľkých známych rodín malvéru, ako sú Gafgyt, Mirai a IoT Reaper, zhromaždil k aprílu 2020 viac ako 15 800 jedinečných uzlov príkazov a ovládania, pričom v decembri 2019 to bolo 323 uzlov. správa z laboratórií Black Lotus Labs spoločnosti Lumen, číslo, ktoré sa odvtedy zvýšilo 1.5 miliónov, pričom Čína a India majú na konte najviac infekcií.
Využívajúc používanie slabých a predvolených hesiel pre vzdialený prístup, ako aj prostredníctvom neopravených zraniteľností, botnet sa šíri infikovaním smerovačov a digitálnych videorekordérov s cieľom kooptovať zariadenia do botnetu internetu vecí, čo by sa mohlo zneužiť na spustenie distribuovaného odmietnutia služby. (DDoS) útoky, exfiltrácia dát a spustenie užitočného zaťaženia.
Teraz podľa Netlabu autori Mozi zabalili aj ďalšie vylepšenia, ktoré zahŕňajú ťažobný trójsky kôň, ktorý sa šíri spôsobom podobným červu prostredníctvom slabých hesiel FTP a SSH, pričom rozširuje funkcie botnetu tým, že sa riadi prístupom podobným zásuvným modulom pri navrhovaní vlastných tag príkazy pre rôzne funkčné uzly. „Táto vymoženosť je jedným z dôvodov rýchleho rozšírenia botnetu Mozi,“ uviedli vedci.
A čo viac, spoliehanie sa Mozi na BitTorrent-like Distributed Hash Table (DHT) pri komunikácii s inými uzlami v botnete namiesto centralizovaného servera príkazov a ovládania, umožňuje mu fungovať bez prekážok, čo sťažuje vzdialenú aktiváciu prepínača zabíjania a znefunkčniť malvér na napadnutých hostiteľoch.
“Vzorky botnetu Mozi sa na nejaký čas prestali aktualizovať, ale to neznamená, že hrozba, ktorú predstavuje Mozi, skončila,” varovali vedci. “Keďže časti siete, ktoré sú už rozšírené po internete, majú schopnosť pokračovať v infikovaní, nové zariadenia sa infikujú každý deň.”
