Бесплатно Экспресс-аудит сайта:

25.12.2019

Новый ботнет Mozi заражает маршрутизаторы Netgear, D-Link и Huawei

Операторы нового однорангового ботнета (P2P), получившего название Mozi, в ходе недавней вредоносной кампании активно проверяли маршрутизаторы Netgear, D-Link и Huawei на наличие ненадежных паролей Telnet.

По словам исследователей безопасности из компании Qihoo 360 Netlab, киберпреступники используют ботнет для осуществления DDoS-атак. Ботнет использует часть кода Gafgyt, однако не является его производным. В Mozi реализован DHT-протокол, основанный на стандартном протоколе, обычно используемом торрент-клиентами и другими P2P-платформами для хранения контактной информации узла.

Таким образом злоумышленники могут быстрее заражать новые устройства без необходимости использования серверов, а также «скрывать полезную нагрузку в огромном объеме обычного DHT-трафика». Mozi также использует алгоритмы ECDSA384 и XOR для обеспечения целостности и безопасности компонентов ботнета и сети P2P.

Вредонос использует Telnet-протокол и уязвимости в оборудовании для заражения новых устройств. Операторы авторизуются на целевом маршрутизаторе или видеорегистраторе CCTV с ненадежным паролем, а затем загружают и выполняют полезную нагрузку после успешной эксплуатации уязвимостей в непропатченных хостах. После запуска вредоносного ПО на скомпрометированном устройстве, бот автоматически присоединяется к сети Mozi в качестве нового узла, который в дальнейшем используется для поиска и заражения других уязвимых устройств.

Для обеспечения защиты от перехвата другими преступными группировками, операторы Mozi также настроили автоматическую проверку всех отправляемых на узлы ботнета команд и синхронизированных конфигураций. Таким образом узлами принимаются и выполняются только конфигурации, прошедшие проверку.

Функционал Mozi включает возможность осуществления DDoS-атак, сбора и эксфильтрации информации о зараженных хостах, загрузки и выполнения полезной нагрузки с определенных ресурсов, загрузки обновлений, а также выполнение команд.

В настоящее время список атакуемых ботнетом устройств включает следующие: Eir D1000, Vacron NVR, устройства, использующие Realtek SDK, Netgear R7000 и R6400, DGN1000 Netgear, MVPower DVR, Huawei HG532, D-Link, CCTV DVR и маршрутизаторы GPON.