Mozi Botnet

De snelle ontwikkeling van de internettechnologie en apparaten die met internet zijn verbonden, hebben cybercriminelen in staat gesteld hun doelen met de hand te selecteren bij het bouwen van een botnet - sommige botnetbeheerders houden vast aan het infecteren van klassieke computers, terwijl anderen achter slimme apparaten of thuisrouters aan gaan. In het geval van het Mozi Botnet hebben de aanvallers ervoor gekozen kwetsbare routers te infecteren en deel van hun botnet te maken. De groep achter het Mozi Botnet lijkt zich te richten op een lange lijst van routerfabrikanten met opmerkelijke namen zoals Huawei, D-Link en Netgear.

Malware-experts vermoeden dat de Mozi Botnet sinds september actief is en gedurende deze tijd het web heeft gescand op zoek naar routers met zwakke inloggegevens of verouderde firmware die actief kan worden misbruikt.

Het Mozi Botnet gebruikt het DHT-protocol dat wordt gebruikt door peer-to-peer software

Een van de interessante eigenaardigheden van het Mozi Botnet is dat het het DHT-protocol (Distributed Hash Table) gebruikt om naar apparaten te zoeken en de nuttige lading te leveren. Dit protocol wordt meestal gebruikt door peer-to-peer-toepassingen en het wordt gebruikt om enorme hoeveelheden verkeer over te dragen, dus het is onwaarschijnlijk dat het kunstmatige DHT-verkeer in de logboeken van de geïnfecteerde router rode vlaggen zal genereren.

Qua functionaliteit biedt de Mozi Botnet ondersteuning voor verschillende opdrachten waarmee de operator de volgende taken op het geïnfecteerde apparaat kan uitvoeren:

• Start een Distributed-Denial-of-Service-aanval met alle actieve geïnfecteerde apparaten.
• Verzamel informatie over geïnfecteerde apparaten.
• Download en voer een payload uit via een URL.
• Upload een lading en voer deze uit.
• Start externe opdrachten.

Het Mozi Botnet is geen spectaculair project, maar de dreigende operatie is snel uitgebreid en het lijkt erop dat het aantal geïnfecteerde apparaten maandelijks blijft toenemen. Om ervoor te zorgen dat uw thuis- of kantoorrouter wordt beschermd, moet u ervoor zorgen dat u een goed gebouwd wachtwoord gebruikt en de nieuwste firmware-updates toepast die openbare exploits zullen elimineren.