Mozi Botnet

Il rapido sviluppo della tecnologia Internet e dei dispositivi connessi a Internet ha consentito ai criminali informatici di selezionare a mano i loro obiettivi quando si tratta di costruire una botnet: alcuni operatori di botnet si attaccano ai computer classici, mentre altri cercano dispositivi intelligenti o router domestici. Nel caso della Mozi Botnet, gli aggressori hanno optato per provare a infettare i router vulnerabili e renderli parte della loro botnet. Il gruppo dietro Mozi Botnet sembra indirizzare un lungo elenco di produttori di router che include nomi importanti come Huawei, D-Link e Netgear.

Gli esperti di malware sospettano che Mozi Botnet sia attivo da settembre e durante questo periodo ha scansionato il Web alla ricerca di router utilizzando credenziali di accesso deboli o firmware obsoleto che è vulnerabile agli exploit attivamente.

Mozi Botnet utilizza il protocollo DHT utilizzato dal software peer-to-peer

Una delle stranezze interessanti di Mozi Botnet è che utilizza il protocollo Distributed Hash Table (DHT) per cercare dispositivi e consegnare il payload. Questo protocollo viene utilizzato principalmente dalle applicazioni peer-to-peer e viene utilizzato per trasferire enormi quantità di traffico, quindi è improbabile che il traffico DHT artificiale trovato nei registri del router infetto alzi ogni bandiera rossa.

In termini di funzionalità, Mozi Botnet supporta diversi comandi che consentono all'operatore di eseguire le seguenti attività sul dispositivo infetto:

• Inizia un attacco Distributed-Denial-of-Service usando tutti i dispositivi infetti attivi.
• Raccogliere informazioni sui dispositivi infetti.
• Scarica ed esegui un payload da un URL.
• Carica un payload ed eseguilo.
• Avvia comandi remoti.

Mozi Botnet non è un progetto spettacolare, ma l'operazione minacciosa si sta espandendo rapidamente e sembra che il numero di dispositivi infetti continui ad aumentare mensilmente. Per assicurarsi che il router di casa o dell'ufficio sia protetto, è necessario assicurarsi di utilizzare una password ben costruita, nonché applicare gli ultimi aggiornamenti del firmware che elimineranno gli exploit pubblici.