Autoridades chinesas prenderam os autores do botnet Mozi

Helga Smithsetembro 2, 2021Última Actualização setembro 2, 2021
160 lido 2 minutos

Especialistas da empresa chinesa de segurança da informação Netlab Qihoo 360 relatou que no início deste ano, as autoridades do país prenderam os autores da grande rede de bots Mozi.

A empresa revelou seu envolvimento na investigação e na operação em duas postagens de blog, um dos quais foi publicado em junho e o de outros no início desta semana. Os pesquisadores escrevem que ajudaram a rastrear a infraestrutura do botnet e seus operadores.

Interessantemente, apenas uma semana atrás, Microsoft especialistas relataram sobre um novo Cinema módulo que ajuda os hackers a interferir no tráfego de sistemas infectados usando spoofing de DNS e sequestro de sessões HTTP. Netlab Qihoo 360 especialistas dizem que o módulo fazia parte de um novo conjunto de recursos do Mozi que os operadores de botnet implantaram pouco antes da prisão, junto com um módulo que instala mineradores de criptomoeda em sistemas infectados.

Primeiro visto no 2019, Mozi cresceu rapidamente. Por exemplo, de acordo com para Black Lotus Labs, em abril 2020, o botnet já incluído 15,000 dispositivos infectados.

Mozi espalhou por conta própria: ele infectou um dispositivo e implantou um módulo nele que usou o sistema infectado para pesquisar outros dispositivos conectados à Internet, e, em seguida, usou exploits contra eles e senhas Telnet de força bruta. Este módulo worm usou mais de dez exploits, o que foi o suficiente para o rápido desenvolvimento do botnet.

Mozi também usou o protocolo DHT para criar uma rede P2P entre todos os dispositivos infectados, permitindo que os bots enviem atualizações e instruções de trabalho diretamente uns para os outros, permitindo que ele opere sem um servidor de controle central.

Netlab Qihoo 360 relata que em seu pico, o botnet infectou até 160,000 sistemas por dia e no total conseguiram comprometer mais do que 1,500,000 dispositivos diferentes, mais da metade dos quais (830,000) estavam localizados na China.

Atividade diária do botnet Moze

Mozi agora prevê um lento “morte”, embora o uso de DHT e P2P torne esse processo e a limpeza de todos os dispositivos infectados uma tarefa difícil.

As amostras do botnet Mozi pararam de ser atualizadas um tempo atrás, mas isso não significa que a ameaça de Mozi acabou. Uma vez que partes do botnet que já estão espalhadas pela Internet podem continuar infectadas, novos dispositivos são afetados todos os dias. Em geral, nós esperamos que [Cinema] diminuirá de tamanho semanalmente, mas pode continuar a “viver” por muito tempo, como vários outros botnets que foram encerrados pelas autoridades policiais no passado.Especialistas dizem.

O recorde citou o especialista em Radware Daniel Smith dizendo que este não é apenas o caso da Mozi. Por exemplo, depois de Hoaxcall botnet foi desativado no início deste ano, especialistas enfrentaram um problema técnico semelhante: bots continuaram a infectar novos dispositivos por vários meses após a operação, agindo por conta própria.

atividade de botnet

Espero que Mozi demore também. Já que Mozi é um botnet P2P, é incrivelmente difícil destruí-lo de uma só vez. Mesmo que os autores estejam na prisão, o botnet pode continuar a se espalhar e infectar novos dispositivos, embora vá desaparecer gradualmente à medida que os dispositivos de rede são reinicializados, atualizado ou substituído.diz Smith.

Deixe-me lembrá-lo de que também escrevi que Hackers chineses encobrem seus rastros e removem malware alguns dias antes da detecção.

Tag
Helga Smithsetembro 2, 2021Última Actualização setembro 2, 2021
160 lido 2 minutos

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo