Uma botnet relativamente nova, denominada Mozi, foi responsável pelo aumento significativo na atividade de ataques a redes IoT (internet das coisas), informa a IBM. As redes de bots são usadas para executar ataques distribuídos de negação de serviços (DDoS), roubo de dados e enviar spams, entre outros.
Com sobreposições de código com a botnet Mirai e suas variantes e reutilizando o código Gafgyt, o Mozi esteve bastante ativo no ano passado e foi responsável por 90% do tráfego de redes IoT observado entre outubro de 2019 e junho deste ano, embora não tenha tentado remover concorrentes de sistemas comprometidos, dizem os pesquisadores da IBM.
O grande aumento dos ataques a redes IoT, no entanto, também pode ser o resultado de um número maior de dispositivos de IoT disponíveis no mundo, expandindo assim a superfície de ataque. No momento, observa a IBM, existem cerca de 31 bilhões de dispositivos IoT em todo o mundo, com aproximadamente 127 dispositivos sendo implantados a cada segundo.
A IBM sugere que o sucesso do Mozi tem como base o uso de ataques de injeção de comando (CMDi), que se aproveitam de configurações incorretas em dispositivos IoT. Acredita-se que o aumento do uso de dispositivos IoT e protocolos de configuração inadequada sejam os responsáveis pelo pico de ataques, junto com o aumento do trabalho remoto devido a covid-19.
Quase todos os ataques observados visando dispositivos IoT estavam empregando CMDi para acesso inicial. O Mozi aproveita o CMDi usando um comando de shell “wget” e, em seguida, alterando as permissões para facilitar a interação dos invasores com o sistema afetado.
Em dispositivos vulneráveis, um arquivo chamado “mozi.a” foi baixado e executado em máquinas com arquitetura MIPS. O ataque tem como alvo máquinas que executam o MIPS e pode modificar o firmware para plantar malware adicional.
Veja isso
Botnet Phorpiex retoma ataques e passa a distribuir novo ransomware
Botnet ataca servidores, instala backdoors e some sem deixar nenhuma pista no disco
Mozi visa muitas vulnerabilidades para fins de infecção: CVE-2017-17215 (Huawei HG532), CVE-2018-10561/CVE-2018-10562 (Roteadores GPON), CVE-2014-8361 (Realtek SDK), CVE-2008-4873 (Sepal SPBOARD), CVE-2016-6277 (Netgear R7000/R6400), CVE-2015-2051 (Dispositivos D-Link), injeção de comando de roteador sem fio Eir D1000, RCE não autenticado Netgear setup.cgi, execução de comando MVPower DVR, D-Link Execução de comando UPnP SOAP e RCE impactando vários fornecedores CCTV-DVR.
A ameaça, que utiliza uma infraestrutura localizada principalmente na China (84%), também é capaz de forçar as credenciais telnet de força bruta e usa uma lista codificada para isso. “A botnet Mozi é ponto a ponto (P2P) baseado no protocolo de tabela hash distribuída (DSHT), que pode se espalhar por meio de exploits de dispositivo IoT e senhas telnet fracas”, afirma a IBM.
O malware usa algoritmo de assinatura digital de curva elíptica 384 (ECDSA384) para verificar sua integridade e contém um conjunto de nós públicos DHT (tabelas de espalhamento distribuídas) codificados que podem ser aproveitados para ingressar na rede ponto a ponto (P2P).
A botnet pode ser usada para lançar ataques distribuídos de negação de serviço (DDoS) (HTTP, TCP, UDP), pode lançar ataques de execução de comando, buscar e executar cargas úteis adicionais e pode coletar informações de bot. “À medida que grupos de botnet mais novos, como o Mozi, aumentam as operações e a atividade geral de IoT aumenta, as organizações que usam dispositivos IoT precisam estar cientes da ameaça.
“A IBM está cada vez mais vendo dispositivos IoT corporativos sendo atacados por invasores. A injeção de comando continua sendo o principal vetor de infecção de escolha para os agentes de ameaça, reiterando o quão importante é alterar as configurações do dispositivo padrão e usar testes de penetração eficazes para encontrar e corrigir lacunas na armadura”, conclui a IBM.