Kinesiska myndigheter har gripit författarna till Mozi -botnätet

Experter från det kinesiska informationssäkerhetsföretaget Netlab Qihoo 360 rapporterade det i början av detta år, landets myndigheter grep författarna till det stora Mozi -botnätet.

Företaget avslöjade sitt engagemang i utredningen och verksamheten i två blogginlägg, varav en publicerades redan i juni och Övrig tidigare i veckan. Forskarna skriver att de hjälpte till att spåra både botnätets infrastruktur och dess operatörer.

Intressant, bara för en vecka sedan, Microsoft experter rapporterade om en ny Bio modul som hjälper hackare att störa trafiken i infekterade system med DNS -spoofing och kapning av HTTP -sessioner. Netlab Qihoo 360 experter säger att modulen var en del av en ny Mozi -funktionsuppsättning som botnätoperatörer använde kort före gripandet, tillsammans med en modul som installerar gruvarbetare av kryptovaluta på infekterade system.

Först sett i 2019, Mozi har vuxit snabbt. Till exempel, enligt till Black Lotus Labs, i april 2020, botnätet ingår redan 15,000 infekterade enheter.

Mozi spred sig på egen hand: den infekterade en enhet och distribuerade en modul på den som använde det infekterade systemet för att söka efter andra enheter som är anslutna till Internet, och använde sedan exploater mot dem och brute-force Telnet-lösenord. Denna maskmodul använde mer än tio exploater, vilket var tillräckligt för den snabba utvecklingen av botnätet.

Mozi använde också DHT -protokollet för att skapa ett P2P -nätverk mellan alla infekterade enheter, så att bots kan skicka uppdateringar och arbetsinstruktioner direkt till varandra, så att den fungerar utan en central styrserver.

Netlab Qihoo 360 rapporterar det på sin höjdpunkt, botnätet infekterat upp till 160,000 system om dagen och totalt lyckades kompromissa mer än 1,500,000 olika enheter, mer än hälften av dem (830,000) befann sig i Kina.

Moze botnet daglig aktivitet

Mozi förutspås nu en långsam “död”, även om användningen av DHT och P2P gör denna process och rengöring av alla infekterade enheter till en skrämmande uppgift.

Mozi botnet -proverna slutade uppdateras för ett tag sedan, men det betyder inte att hotet från Mozi är borta. Eftersom delar av botnätet som redan är spridda över Internet kan fortsätta att vara infekterade, nya enheter påverkas varje dag. I allmänhet, det förväntar vi oss [Bio] kommer att minska i storlek varje vecka, men kan fortsätta att "leva" länge, som flera andra botnät som tidigare har stängts av av brottsbekämpning.säger experter.

Skivan citerade Radware -specialisten Daniel Smith för att säga att detta inte bara är fallet med Mozi. Till exempel, efter Hoaxcall botnet var funktionshindrad i början av detta år, experter stod inför ett liknande tekniskt problem: bots fortsatte att infektera nya enheter i flera månader efter operationen, agerar på egen hand.

botnet -aktivitet

Jag förväntar mig att Mozi ska vara lång också. Eftersom Mozi är ett P2P -botnät, det är otroligt svårt att förstöra det i ett slag. Även om författarna sitter i fängelse, botnätet kan fortsätta att sprida sig och infektera nya enheter, även om det gradvis kommer att dö ut när nätverksenheter startas om, uppdaterad eller ersatt.säger Smith.

Låt mig påminna dig om att jag också skrev det Kinesiska hackare täcker sina spår och tar bort skadlig kod några dagar före upptäckt.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen