Kinesiske myndigheter har arrestert forfatterne av Mozi botnet

Helga Smithseptember 2, 2021Sist oppdatert: september 2, 2021
160 2 minutter lest

Eksperter fra det kinesiske informasjonssikkerhetsselskapet Netlab Qihoo 360 rapporterte det i begynnelsen av dette året, landets myndigheter arresterte forfatterne av det store Mozi -botnettet.

Selskapet avslørte sitt engasjement i etterforskningen og operasjonen i to blogginnlegg, en av dem ble publisert tilbake i juni og annen tidligere denne uken. Forskerne skriver at de bidro til å spore både infrastrukturen til botnettet og dets operatører.

Interessant, bare en uke siden, Microsoft eksperter rapporterte om en ny Kino modul som hjelper hackere til å forstyrre trafikken til infiserte systemer ved hjelp av DNS -spoofing og kapring av HTTP -økter. Netlab Qihoo 360 eksperter sier at modulen var en del av et nytt Mozi -funksjonssett som botnettoperatører distribuerte kort tid før arrestasjonen, sammen med en modul som installerer kryptovaluta -gruvearbeidere på infiserte systemer.

Først sett i 2019, Mozi har vokst raskt. For eksempel, i henhold til Black Lotus Labs, i April 2020, botnettet er allerede inkludert 15,000 infiserte enheter.

Mozi spredte seg på egen hånd: den infiserte en enhet og distribuerte en modul på den som brukte det infiserte systemet til å søke etter andre enheter som er koblet til Internett, og brukte deretter bedrifter mot dem og brute-force Telnet-passord. Denne ormmodulen brukte mer enn ti bedrifter, som var nok for den raske utviklingen av botnettet.

Mozi brukte også DHT -protokollen til å opprette et P2P -nettverk mellom alle infiserte enheter, slik at bots kan sende oppdateringer og arbeidsinstruksjoner direkte til hverandre, slik at den kan fungere uten en sentral kontrollserver.

Netlab Qihoo 360 rapporterer det på sitt høyeste, botnettet infisert opp til 160,000 systemer om dagen og totalt klart å gå på kompromiss med mer enn 1,500,000 forskjellige enheter, mer enn halvparten av dem (830,000) var lokalisert i Kina.

Moze botnet daglig aktivitet

Mozi er nå spådd en treg “død”, Selv om bruk av DHT og P2P gjør denne prosessen og rengjøring av alle infiserte enheter til en skremmende oppgave.

Mozi botnet -prøvene sluttet å oppdatere for en stund siden, men dette betyr ikke at trusselen fra Mozi er borte. Siden deler av botnettet som allerede er spredt over Internett kan fortsette å bli infisert, nye enheter påvirkes hver dag. Generelt, vi forventer det [Kino] vil minske i størrelse ukentlig, men kan fortsette å "leve" lenge, som flere andre botnett som har blitt stengt av politiet tidligere.sier eksperter.

Rekorden siterte Radware -spesialisten Daniel Smith for at dette ikke bare er tilfelle med Mozi. For eksempel, etter Hoaxcall botnet ble deaktivert i begynnelsen av dette året, eksperter møtte et lignende teknisk problem: bots fortsatte å infisere nye enheter i flere måneder etter operasjonen, handler på egen hånd.

botnet -aktivitet

Jeg forventer at Mozi også blir lang. Siden Mozi er et P2P -botnett, det er utrolig vanskelig å ødelegge det i ett slag. Selv om forfatterne sitter i fengsel, botnettet kan fortsette å spre seg og infisere nye enheter, selv om den gradvis dør ut etter hvert som nettverksenheter startes på nytt, oppdatert eller byttet ut.sier Smith.

La meg minne deg om at jeg også skrev det Kinesiske hackere dekker sporene sine og fjerner skadelig programvare noen dager før deteksjon.

Merker
Helga Smithseptember 2, 2021Sist oppdatert: september 2, 2021
160 2 minutter lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen