Σύμφωνα με την IBM, το Mozi, ένα σχετικά νέο botnet είναι υπεύθυνο για την αύξηση της Internet of Things (IoT) botnet δραστηριότητας.
Το Mozi botnet χρησιμοποιήθηκε πολύ τον τελευταίο χρόνο και αντιπροσώπευε το 90% του IoT network traffic, που παρατηρήθηκε μεταξύ Οκτωβρίου 2019 και Ιουνίου 2020. Ωστόσο, οι ερευνητές διαπίστωσαν ότι πραγματοποιούσε επιθέσεις χωρίς να προσπαθεί να αφαιρέσει τους ανταγωνιστές του από παραβιασμένα συστήματα.
Από την άλλη μεριά, η μεγάλη αύξηση των επιθέσεων σε IoT συσκευές δεν οφείλεται αποκλειστικά στην αποτελεσματικότητα του botnet. Οφείλεται σε μεγάλο βαθμό στην αυξημένη χρήση των IoT συσκευών σε όλο τον κόσμο. Περισσότερες συσκευές σημαίνουν περσότερες ευκαιρίες για επιθέσεις. Σύμφωνα με την IBM, υπάρχουν περίπου 31 δισεκατομμύρια συσκευές IoT παγκοσμίως.
Οι ερευνητές πιστεύουν ότι η επιτυχία του Mozi botnet βασίζεται στη χρήση “command injection (CMDi)” επιθέσεων, οι οποίες βασίζονται σε λανθασμένες διαμορφώσεις σε συσκευές IoT. Ο συνδυασμός της αυξημένης χρήσης IoT συσκευών και των λανθασμένων πρωτοκόλλων είναι υπεύθυνος για την αύξηση των επιθέσεων. Φυσικά, η παρατεταμένη απομακρυσμένη εργασία λόγω του COVID-19, παίζει επίσης σημαντικό ρόλο.
 botnet){kind=link}
Οι ερευνητές παρατήρησαν ότι σχεδόν όλες οι επιθέσεις που στοχεύουν συσκευές IoT χρησιμοποιούν την CMDi τεχνική για αρχική πρόσβαση. Το Mozi botnet αξιοποιεί το CMDi χρησιμοποιώντας μια εντολή “wget” shell και έπειτα παραβιάζει τα δικαιώματα για να διευκολύνει την αλληλεπίδραση των εισβολέων με το σύστημα-στόχο.
Η IBM είπε ότι σε ευάλωτες συσκευές, έγινε λήψη ενός αρχείου με το όνομα “mozi.a” και στη συνέχεια εκτελέστηκε στο MIPS architecture. Η επίθεση στοχεύει μηχανήματα που χρησιμοποιούν αρχιτεκτονική υπολογιστών RISC (μειωμένο σετ εντολών υπολογιστή-Το MIPS είναι ένα “RISC instruction set architecture”) και μπορεί να δώσει σε έναν hacker τη δυνατότητα να τροποποιήσει το firmware για την εγκατάσταση πρόσθετου κακόβουλου λογισμικού.
Το Mozi botnet στοχεύει πολλές ευπάθειες για να μολύνει τις IoT συσκευές: CVE-2017-17215 (Huawei HG532), CVE-2018-10561 / CVE-2018-10562 (GPON Routers), CVE-2014-8361 (Realtek SDK), CVE-2008-4873 ( Sepal SPBOARD), CVE-2016-6277 (Netgear R7000 / R6400), CVE-2015-2051 (D-Link Devices), Eir D1000 wireless router command injection, Netgear setup.cgi RCE, εκτέλεση εντολών MVPower DVR, εκτέλεση εντολών D-Link UPnP SOAP και RCE που επηρεάζουν πολλούς προμηθευτές CCTV-DVR.
Οι hackers πίσω από το Mozi botnet χρησιμοποιούν υποδομές που βρίσκονται κυρίως στην Κίνα (84%).
“Το botnet Mozi είναι ένα botnet peer-to-peer (P2P) που βασίζεται στο πρωτόκολλο “distributed sloppy hash table” (DSHT), το οποίο μπορεί να εξαπλωθεί μέσω exploits συσκευών IoT και αδύναμων telnet passwords“, λέει η IBM.
Σύμφωνα με την IBM, το botnet μπορεί να χρησιμοποιηθεί για την πραγματοποίηση denial-of-service επιθέσεων (DDoS), για την εκτέλεση κακόβουλων εντολών, την εκτέλεση πρόσθετων payloads και τη συλλογή πληροφοριών.
Σύμφωνα με το SecurityWeek, οι ερευνητές τονίζουν ότι οι οργανισμοί που χρησιμοποιούν συσκευές IoT πρέπει να δώσουν σημασία σε αυτή την απειλή που εντοπίζεται όλο και πιο συχνά. Το “Command injection” παραμένει η κύρια μορφή μόλυνσης, γι’ αυτό είναι σημαντικό να αλλάζετε τις προεπιλεγμένες ρυθμίσεις της συσκευής και να κάνετε συνεχείς ελέγχους για την εύρεση πιθανών κενών ασφαλείας.