Οι κινεζικές αρχές συνέλαβαν τους συντάκτες του botnet Mozi
Ειδικοί από την κινεζική εταιρεία ασφάλειας πληροφοριών Netlab Qihoo 360 ανέφερε ότι στις αρχές του τρέχοντος έτους, οι αρχές της χώρας συνέλαβαν τους συντάκτες του μεγάλου botnet Mozi.
Η εταιρεία αποκάλυψε τη συμμετοχή της στην έρευνα και τη λειτουργία σε δύο αναρτήσεις ιστολογίου, ένα από τα οποία δημοσιεύτηκε τον Ιούνιο και το άλλα νωρίτερα αυτήν την εβδομάδα. Οι ερευνητές γράφουν ότι βοήθησαν στην παρακολούθηση τόσο της υποδομής του botnet όσο και των χειριστών του.
Με ενδιαφέρο, μόλις μια εβδομάδα πριν, Microsoft οι ειδικοί ανέφεραν για α νέος Κινηματογράφος μονάδα μέτρησης που βοηθά τους χάκερ να παρεμβαίνουν στην κυκλοφορία μολυσμένων συστημάτων χρησιμοποιώντας πλαστογραφία DNS και παραβίαση περιόδων σύνδεσης HTTP. Netlab Qihoo 360 οι ειδικοί λένε ότι η ενότητα ήταν μέρος ενός νέου συνόλου δυνατοτήτων Mozi που οι χειριστές botnet ανέπτυξαν λίγο πριν από τη σύλληψη, μαζί με μια ενότητα που εγκαθιστά ανθρακωρύχους κρυπτονομισμάτων σε μολυσμένα συστήματα.
Πρώτα δει σε 2019, Το Mozi αναπτύχθηκε ραγδαία. Για παράδειγμα, σύμφωνα με προς το Black Lotus Labs, τον Απρίλιο 2020, το botnet περιλαμβάνεται ήδη 15,000 μολυσμένες συσκευές.
Το Mozi εξαπλώθηκε από μόνο του: μολύνει μια συσκευή και αναπτύσσει μια μονάδα σε αυτήν που χρησιμοποιούσε το μολυσμένο σύστημα για να αναζητήσει άλλες συσκευές συνδεδεμένες στο Διαδίκτυο, και έπειτα χρησιμοποίησε εκμεταλλεύσεις εναντίον τους και πρόσθιους κωδικούς πρόσβασης Telnet. Αυτή η ενότητα worm χρησιμοποίησε περισσότερες από δέκα εκμεταλλεύσεις, που ήταν αρκετό για την ταχεία ανάπτυξη του botnet.
Ο Mozi χρησιμοποίησε επίσης το πρωτόκολλο DHT για να δημιουργήσει ένα δίκτυο P2P μεταξύ όλων των μολυσμένων συσκευών, επιτρέποντας στα bot να στέλνουν ενημερώσεις και οδηγίες εργασίας απευθείας μεταξύ τους, επιτρέποντάς του να λειτουργεί χωρίς κεντρικό διακομιστή ελέγχου.
Netlab Qihoo 360 αναφέρει ότι στο απόγειό της, το botnet μολύνθηκε μέχρι 160,000 συστήματα την ημέρα και συνολικά κατάφεραν να συμβιβαστούν περισσότερο από 1,500,000 διαφορετικές συσκευές, περισσότερα από τα μισά από τα οποία (830,000) βρίσκονταν στην Κίνα.
Το Mozi προβλέπεται πλέον αργό “θάνατος”, αν και η χρήση DHT και P2P καθιστά αυτή τη διαδικασία και τον καθαρισμό όλων των μολυσμένων συσκευών μια αποθαρρυντική εργασία.
Το ρεκόρ ανέφερε τον ειδικό του Radware Daniel Smith να λέει ότι αυτό δεν συμβαίνει μόνο με τη Mozi. Για παράδειγμα, μετά το Hoaxcall botnet απενεργοποιήθηκε στις αρχές του τρέχοντος έτους, οι ειδικοί αντιμετώπισαν παρόμοιο τεχνικό πρόβλημα: τα bots συνέχισαν να μολύνουν νέες συσκευές για αρκετούς μήνες μετά την επέμβαση, ενεργώντας μόνοι τους.
Επιτρέψτε μου να σας υπενθυμίσω ότι το έγραψα και αυτό Κινέζοι χάκερ καλύπτουν τα ίχνη τους και αφαιρούν κακόβουλο λογισμικό λίγες μέρες πριν τον εντοπισμό.