Kinesiske myndigheder har anholdt forfatterne af Mozi botnet
Eksperter fra det kinesiske informationssikkerhedsfirma Netlab Qihoo 360 rapporterede det i begyndelsen af dette år, landets myndigheder anholdt forfatterne af det store Mozi -botnet.
Virksomheden afslørede sin involvering i undersøgelsen og operationen i to blogindlæg, en af dem blev udgivet tilbage i juni og Andet tidligere på ugen. Forskerne skriver, at de var med til at spore både botnetets infrastruktur og dets operatører.
Interessant, bare en uge siden, Microsoft eksperter rapporterede om en ny Biograf modul der hjælper hackere med at forstyrre trafikken på inficerede systemer ved hjælp af DNS -spoofing og kapring af HTTP -sessioner. Netlab Qihoo 360 eksperter siger, at modulet var en del af et nyt Mozi -funktionssæt, som botnetoperatører indsatte kort før arrestationen, sammen med et modul, der installerer cryptocurrency minearbejdere på inficerede systemer.
Først set i 2019, Mozi er vokset hurtigt. For eksempel, ifølge til Sort Lotus Labs, i april 2020, botnet allerede inkluderet 15,000 inficerede enheder.
Mozi spredte sig på egen hånd: det inficerede en enhed og implementerede et modul på det, der brugte det inficerede system til at søge efter andre enheder, der er forbundet til internettet, og brugte derefter bedrifter mod dem og brute-force Telnet-adgangskoder. Dette ormmodul brugte mere end ti bedrifter, hvilket var nok til den hurtige udvikling af botnet.
Mozi brugte også DHT -protokollen til at oprette et P2P -netværk mellem alle inficerede enheder, tillader bots at sende opdateringer og arbejdsinstruktioner direkte til hinanden, tillader det at fungere uden en central kontrolserver.
Netlab Qihoo 360 rapporterer det på sit højeste, botnet inficeret op til 160,000 systemer om dagen og i alt lykkedes det at gå på kompromis med mere end 1,500,000 forskellige enheder, mere end halvdelen af dem (830,000) var placeret i Kina.
Mozi forudsiges nu en langsom “død”, selvom brugen af DHT og P2P gør denne proces og rengøring af alle inficerede enheder til en skræmmende opgave.
Grammofonpladen citerede Radware -specialisten Daniel Smith for at sige, at dette ikke kun er tilfældet med Mozi. For eksempel, efter Hoaxcall botnet blev deaktiveret i begyndelsen af dette år, eksperter stod over for et lignende teknisk problem: bots fortsatte med at inficere nye enheder i flere måneder efter operationen, handler på egen hånd.
Lad mig minde dig om, at jeg også skrev det Kinesiske hackere dækker deres spor og fjerner malware et par dage før afsløring.