botnet-iot-telnet.jpg

Botnet Mozi é responsável pela maioria dos ataques a redes IoT

Rede de bots foi responsável por 90% do tráfego de redes IoT observado entre outubro de 2019 e junho deste ano
Da Redação
21/09/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Uma botnet relativamente nova, denominada Mozi, foi responsável pelo aumento significativo na atividade de ataques a redes IoT (internet das coisas), informa a IBM. As redes de bots são usadas para executar ataques distribuídos de negação de serviços (DDoS), roubo de dados e enviar spams, entre outros.

Com sobreposições de código com a botnet Mirai e suas variantes e reutilizando o código Gafgyt, o Mozi esteve bastante ativo no ano passado e foi responsável por 90% do tráfego de redes IoT observado entre outubro de 2019 e junho deste ano, embora não tenha tentado remover concorrentes de sistemas comprometidos, dizem os pesquisadores da IBM.

O grande aumento dos ataques a redes IoT, no entanto, também pode ser o resultado de um número maior de dispositivos de IoT disponíveis no mundo, expandindo assim a superfície de ataque. No momento, observa a IBM, existem cerca de 31 bilhões de dispositivos IoT em todo o mundo, com aproximadamente 127 dispositivos sendo implantados a cada segundo.

A IBM sugere que o sucesso do Mozi tem como base o uso de ataques de injeção de comando (CMDi), que se aproveitam de configurações incorretas em dispositivos IoT. Acredita-se que o aumento do uso de dispositivos IoT e protocolos de configuração inadequada sejam os responsáveis ​​pelo pico de ataques, junto com o aumento do trabalho remoto devido a covid-19.

Quase todos os ataques observados visando dispositivos IoT estavam empregando CMDi para acesso inicial. O Mozi aproveita o CMDi usando um comando de shell “wget” e, em seguida, alterando as permissões para facilitar a interação dos invasores com o sistema afetado.

Em dispositivos vulneráveis, um arquivo chamado “mozi.a” foi baixado e executado em máquinas com arquitetura MIPS. O ataque tem como alvo máquinas que executam o MIPS e pode modificar o firmware para plantar malware adicional.

Veja isso
Botnet Phorpiex retoma ataques e passa a distribuir novo ransomware
Botnet ataca servidores, instala backdoors e some sem deixar nenhuma pista no disco

Mozi visa muitas vulnerabilidades para fins de infecção: CVE-2017-17215 (Huawei HG532), CVE-2018-10561/CVE-2018-10562 (Roteadores GPON), CVE-2014-8361 (Realtek SDK), CVE-2008-4873 (Sepal SPBOARD), CVE-2016-6277 (Netgear R7000/R6400), CVE-2015-2051 (Dispositivos D-Link), injeção de comando de roteador sem fio Eir D1000, RCE não autenticado Netgear setup.cgi, execução de comando MVPower DVR, D-Link Execução de comando UPnP SOAP e RCE impactando vários fornecedores CCTV-DVR.

A ameaça, que utiliza uma infraestrutura localizada principalmente na China (84%), também é capaz de forçar as credenciais telnet de força bruta e usa uma lista codificada para isso. “A botnet Mozi é ponto a ponto (P2P) baseado no protocolo de tabela hash distribuída (DSHT), que pode se espalhar por meio de exploits de dispositivo IoT e senhas telnet fracas”, afirma a IBM.

O malware usa algoritmo de assinatura digital de curva elíptica 384 (ECDSA384) para verificar sua integridade e contém um conjunto de nós públicos DHT (tabelas de espalhamento distribuídas) codificados que podem ser aproveitados para ingressar na rede ponto a ponto (P2P).

A botnet pode ser usada para lançar ataques distribuídos de negação de serviço (DDoS) (HTTP, TCP, UDP), pode lançar ataques de execução de comando, buscar e executar cargas úteis adicionais e pode coletar informações de bot. “À medida que grupos de botnet mais novos, como o Mozi, aumentam as operações e a atividade geral de IoT aumenta, as organizações que usam dispositivos IoT precisam estar cientes da ameaça.

“A IBM está cada vez mais vendo dispositivos IoT corporativos sendo atacados por invasores. A injeção de comando continua sendo o principal vetor de infecção de escolha para os agentes de ameaça, reiterando o quão importante é alterar as configurações do dispositivo padrão e usar testes de penetração eficazes para encontrar e corrigir lacunas na armadura”, conclui a IBM.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório