Dit is de reden waarom het Mozi-botnet zal blijven hangen

Het is twee jaar geleden sinds de noodtoestand van Mozi, en ondanks de arrestatie van de vermeende auteur, blijft het botnet zich verspreiden.

Mozi werd in 2019 ontdekt door 360 Netlab en is in de twee jaar daarna uitgegroeid van een kleine operatie tot een botnet dat “goed was voor een extreem hoog percentage van [Internet of Things] IoT-verkeer op zijn hoogtepunt.”

Volgens Netlab (vertaald) is Mozi verantwoordelijk voor meer dan 1,5 miljoen geïnfecteerde nodes, waarvan de meerderheid – 830.000 – afkomstig is uit China.

Mozi is een P2P-botnet dat het DHT-protocol gebruikt. Om zich te verspreiden, maakt het botnet misbruik van zwakke Telnet-wachtwoorden en bekende exploits om onder meer netwerkapparaten, IoT en videorecorders te targeten.

Het botnet kan apparaten tot slaaf maken om Distributed Denial-of-Service (DDoS)-aanvallen uit te voeren, payloads te lanceren, gegevens te stelen en systeemopdrachten uit te voeren. Als routers geïnfecteerd zijn, kan dit leiden tot Man-in-The-Middle (MITM)-aanvallen.

Eerder deze maand zeiden Microsoft IoT-beveiligingsonderzoekers dat Mozi is geëvolueerd om “persistentie te bereiken op netwerkgateways vervaardigd door Netgear, Huawei en ZTE” door zijn persistentiemechanismen aan te passen aan de architectuur van elk apparaat.

In juli beweerde Netlab dat het cyberbeveiligingsbedrijf… geassisteerde wetshandhaving om de vermeende ontwikkelaar van Mozi te arresteren, en daarom “denken we niet dat het nog geruime tijd zal worden bijgewerkt.”

Het botnet leeft echter voort en dinsdag heeft het bedrijf zijn mening gegeven over het waarom.

“We weten dat Mozi een P2P-netwerkstructuur gebruikt, en een van de “voordelen” van een P2P-netwerk is dat het robuust is, dus zelfs als sommige knooppunten uitvallen, zal het hele netwerk doorgaan en de resterende knooppunten zullen nog steeds andere kwetsbare apparaten infecteren”, zegt Netlab. “Daarom zien we Mozi zich nog steeds verspreiden.”

Volgens het team, naast het belangrijkste Mozi_ftp-protocol, suggereert de ontdekking van malware met dezelfde P2P-configuratie – Mozi_ssh – dat het botnet ook wordt gebruikt om geld te verdienen aan illegale cryptocurrency-mining. Bovendien gebruiken gebruikers Mozi’s DHT-configuratiemodule en creëren ze er nieuwe, functionele knooppunten voor, wat volgens het team hen in staat stelt “snel de programma’s te ontwikkelen die nodig zijn voor nieuwe functionele knooppunten, wat erg handig is”.

“Dit gemak is een van de redenen voor de snelle uitbreiding van het Mozi-botnet”, voegt Netlab toe.

Het team zei ook dat in een voorbeeld van het botnet met de naam v2s, dat vorig jaar werd vastgelegd, suggereert dat updates voor Mozi zijn gericht op het scheiden van controleknooppunten van “mozi_bot” -knooppunten, evenals op het verbeteren van de efficiëntie. Het kan zijn dat deze wijzigingen door de auteurs zijn aangebracht om het netwerk aan andere dreigingsactoren te verhuren.

“De Mozi-botnetsamples worden al geruime tijd niet meer bijgewerkt, maar dit betekent niet dat de dreiging van Mozi is geëindigd”, zeggen de onderzoekers. “Omdat de delen van het netwerk die al over het internet zijn verspreid de mogelijkheid hebben om verder te worden geïnfecteerd, worden er elke dag nieuwe apparaten geïnfecteerd.”

Netlab voorspelt dat week na week de omvang van het botnet geleidelijk zal afnemen, maar het is waarschijnlijk dat de impact van Mozi nog enige tijd voelbaar zal zijn.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0



Posted By : keluaran sidney hari ini