Kinesiska myndigheter har gripit författarna till Mozi -botnätet
Experter från det kinesiska informationssäkerhetsföretaget Netlab Qihoo 360 rapporterade det i början av detta år, landets myndigheter grep författarna till det stora Mozi -botnätet.
Företaget avslöjade sitt engagemang i utredningen och verksamheten i två blogginlägg, varav en publicerades redan i juni och Övrig tidigare i veckan. Forskarna skriver att de hjälpte till att spåra både botnätets infrastruktur och dess operatörer.
Intressant, bara för en vecka sedan, Microsoft experter rapporterade om en ny Bio modul som hjälper hackare att störa trafiken i infekterade system med DNS -spoofing och kapning av HTTP -sessioner. Netlab Qihoo 360 experter säger att modulen var en del av en ny Mozi -funktionsuppsättning som botnätoperatörer använde kort före gripandet, tillsammans med en modul som installerar gruvarbetare av kryptovaluta på infekterade system.
Först sett i 2019, Mozi har vuxit snabbt. Till exempel, enligt till Black Lotus Labs, i april 2020, botnätet ingår redan 15,000 infekterade enheter.
Mozi spred sig på egen hand: den infekterade en enhet och distribuerade en modul på den som använde det infekterade systemet för att söka efter andra enheter som är anslutna till Internet, och använde sedan exploater mot dem och brute-force Telnet-lösenord. Denna maskmodul använde mer än tio exploater, vilket var tillräckligt för den snabba utvecklingen av botnätet.
Mozi använde också DHT -protokollet för att skapa ett P2P -nätverk mellan alla infekterade enheter, så att bots kan skicka uppdateringar och arbetsinstruktioner direkt till varandra, så att den fungerar utan en central styrserver.
Netlab Qihoo 360 rapporterar det på sin höjdpunkt, botnätet infekterat upp till 160,000 system om dagen och totalt lyckades kompromissa mer än 1,500,000 olika enheter, mer än hälften av dem (830,000) befann sig i Kina.
Mozi förutspås nu en långsam “död”, även om användningen av DHT och P2P gör denna process och rengöring av alla infekterade enheter till en skrämmande uppgift.
Skivan citerade Radware -specialisten Daniel Smith för att säga att detta inte bara är fallet med Mozi. Till exempel, efter Hoaxcall botnet var funktionshindrad i början av detta år, experter stod inför ett liknande tekniskt problem: bots fortsatte att infektera nya enheter i flera månader efter operationen, agerar på egen hand.
Låt mig påminna dig om att jag också skrev det Kinesiska hackare täcker sina spår och tar bort skadlig kod några dagar före upptäckt.