Mozi, um botnet ponto a ponto (P2P) conhecido por ter como alvo dispositivos IoT, ganhou novos recursos que permitem atingir a persistência em gateways de rede fabricados pela Netgear, Huawei e ZTE, de acordo com novas descobertas.
"Gateways de rede são um alvo particularmente interessante para adversários porque são ideais como pontos de acesso inicial para redes corporativas", disseram pesquisadores do Centro de Inteligência de Ameaças de Segurança da Microsoft e da Seção 52 do Azure Defender para IoT em um artigo técnico. "Ao infectar roteadores, eles podem realizar ataques man-in-the-middle (MITM) - via sequestro de HTTP e falsificação de DNS - para comprometer endpoints e implantar ransomware ou causar incidentes de segurança em instalações de OT."
Documentado pela primeira vez pelo Netlab 360 em dezembro de 2019, o Mozi tem um histórico de infectar roteadores e gravadores de vídeo digital para montá-los em um botnet IoT, que poderia ser usado para lançar ataques de negação de serviço distribuído (DDoS), exfiltração de dados, e execução de carga útil. O botnet é desenvolvido a partir do código-fonte de várias famílias de malware conhecidas, como Gafgyt, Mirai e IoT Reaper.
Mozi se espalha através do uso de senhas de acesso remoto fracas e padrão, bem como através de vulnerabilidades não corrigidas, com o malware IoT se comunicando usando uma tabela de hash distribuída ( DHT ) semelhante a BitTorrent para registrar as informações de contato para outros nós no botnet, o mesmo mecanismo usado por clientes P2P de compartilhamento de arquivos. Os dispositivos comprometidos ouvem comandos de nós controladores e também tentam infectar outros alvos vulneráveis.
Uma análise do IBM X-Force publicada em setembro de 2020 observou que o Mozi foi responsável por quase 90% do tráfego de rede IoT observado de outubro de 2019 a junho de 2020, indicando que os agentes de ameaças estão cada vez mais aproveitando a expansão da superfície de ataque oferecida pelos dispositivos IoT. Em uma investigação separada divulgada no mês passado, a equipe de inteligência e análise de segurança da Elastic Security descobriu que pelo menos 24 países foram visados até o momento, com a Bulgária e a Índia liderando o grupo.
Agora, uma nova pesquisa da equipe de segurança IoT da Microsoft descobriu que o malware "executa ações específicas para aumentar suas chances de sobrevivência na reinicialização ou qualquer outra tentativa de outro malware ou respondentes de interferir em sua operação", incluindo a obtenção de persistência em dispositivos direcionados e o bloqueio de TCP portas (23, 2323, 7547, 35000, 50023 e 58000) que são usadas para obter acesso remoto ao gateway.
Além do mais, o Mozi foi atualizado para oferecer suporte a novos comandos que permitem ao malware sequestrar sessões HTTP e realizar spoofing de DNS para redirecionar o tráfego para um domínio controlado pelo invasor.
Empresas e usuários que usam roteadores Netgear, Huawei e ZTE são recomendados para proteger os dispositivos usando senhas fortes e atualizar os dispositivos com o firmware mais recente. "Isso reduzirá as superfícies de ataque alavancadas pelo botnet e impedirá que os invasores se posicionem em uma posição em que possam usar a persistência recém-descoberta e outras técnicas de exploração", disse a Microsoft.
