Esta es la razón por la que la red de bots Mozi seguirá existiendo

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Han pasado dos años desde la emergencia de Mozi, y a pesar de la detención de su presunto autor, la botnet sigue extendiéndose.

Mozi fue descubierto en 2019 por 360 Netlab, y en los dos años transcurridos, ha pasado de ser una pequeña operación a una botnet que “representó un porcentaje extremadamente alto del tráfico de IoT [Internet de las Cosas] en su pico.”

Según Netlab (traducido), Mozi ha representado más de 1,5 millones de nodos infectados, de los cuales, la mayoría, 830.000, procede de China.

Mozi es una red de bots P2P que utiliza el protocolo DHT. Para propagarse, la red de bots abusa de contraseñas débiles de Telnet y de exploits conocidos para atacar dispositivos de red, IoT y grabadores de vídeo, entre otros productos conectados a Internet.

La botnet es capaz de esclavizar dispositivos para lanzar ataques de denegación de servicio distribuidos (DDoS), lanzar cargas útiles, robar datos y ejecutar comandos del sistema. Si se infectan los routers, esto podría dar lugar a ataques Man-in-The-Middle (MITM).

A principios de agosto, los investigadores de seguridad de Microsoft IoT afirmaron que Mozi ha evolucionado para “lograr la persistencia en las puertas de enlace de red fabricadas por Netgear, Huawei y ZTE”, adaptando sus mecanismos de persistencia en función de la arquitectura de cada dispositivo.

En julio, Netlab aseguró que la empresa de ciberseguridad había ayudado a las fuerzas de seguridad a detener al presunto desarrollador de Mozi, por lo que “no creemos que siga actualizándose durante bastante tiempo.”

Sin embargo, la red de bots sigue viva, y el martes, la compañía ha dado su opinión sobre el porqué.

“Sabemos que Mozi utiliza una estructura de red P2P, y una de las “ventajas” de una red P2P es que es robusta, por lo que incluso si algunos de los nodos se caen, toda la red continuará, y los nodos restantes seguirán infectando otros dispositivos vulnerables”, dice Netlab. “Por eso podemos seguir viendo cómo se extiende Mozi”.

Según el equipo, además del protocolo principal Mozi_ftp, el descubrimiento de malware que utiliza la misma configuración P2P -Mozi_ssh- sugiere que la red de bots también se está utilizando para sacar provecho de la minería ilegal de criptomonedas. Además, los usuarios están aprovechando el módulo de configuración DHT de Mozi y creando nuevos nodos funcionales para él, lo que, según el equipo, les permite “desarrollar rápidamente los programas necesarios para los nuevos nodos funcionales, lo cual es muy conveniente”.

Netlab predice que, semana a semana, el tamaño de la red de bots disminuirá gradualmente, pero es probable que el impacto de Mozi se sienta durante algún tiempo.

Con información de: ZDNet.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *