Kinesiske myndigheter har arrestert forfatterne av Mozi botnet
Eksperter fra det kinesiske informasjonssikkerhetsselskapet Netlab Qihoo 360 rapporterte det i begynnelsen av dette året, landets myndigheter arresterte forfatterne av det store Mozi -botnettet.
Selskapet avslørte sitt engasjement i etterforskningen og operasjonen i to blogginnlegg, en av dem ble publisert tilbake i juni og annen tidligere denne uken. Forskerne skriver at de bidro til å spore både infrastrukturen til botnettet og dets operatører.
Interessant, bare en uke siden, Microsoft eksperter rapporterte om en ny Kino modul som hjelper hackere til å forstyrre trafikken til infiserte systemer ved hjelp av DNS -spoofing og kapring av HTTP -økter. Netlab Qihoo 360 eksperter sier at modulen var en del av et nytt Mozi -funksjonssett som botnettoperatører distribuerte kort tid før arrestasjonen, sammen med en modul som installerer kryptovaluta -gruvearbeidere på infiserte systemer.
Først sett i 2019, Mozi har vokst raskt. For eksempel, i henhold til Black Lotus Labs, i April 2020, botnettet er allerede inkludert 15,000 infiserte enheter.
Mozi spredte seg på egen hånd: den infiserte en enhet og distribuerte en modul på den som brukte det infiserte systemet til å søke etter andre enheter som er koblet til Internett, og brukte deretter bedrifter mot dem og brute-force Telnet-passord. Denne ormmodulen brukte mer enn ti bedrifter, som var nok for den raske utviklingen av botnettet.
Mozi brukte også DHT -protokollen til å opprette et P2P -nettverk mellom alle infiserte enheter, slik at bots kan sende oppdateringer og arbeidsinstruksjoner direkte til hverandre, slik at den kan fungere uten en sentral kontrollserver.
Netlab Qihoo 360 rapporterer det på sitt høyeste, botnettet infisert opp til 160,000 systemer om dagen og totalt klart å gå på kompromiss med mer enn 1,500,000 forskjellige enheter, mer enn halvparten av dem (830,000) var lokalisert i Kina.
Mozi er nå spådd en treg “død”, Selv om bruk av DHT og P2P gjør denne prosessen og rengjøring av alle infiserte enheter til en skremmende oppgave.
Rekorden siterte Radware -spesialisten Daniel Smith for at dette ikke bare er tilfelle med Mozi. For eksempel, etter Hoaxcall botnet ble deaktivert i begynnelsen av dette året, eksperter møtte et lignende teknisk problem: bots fortsatte å infisere nye enheter i flere måneder etter operasjonen, handler på egen hånd.
La meg minne deg om at jeg også skrev det Kinesiske hackere dekker sporene sine og fjerner skadelig programvare noen dager før deteksjon.