Le botnet Mozi compte pour la majorité du trafic IoT

Le botnet Mozi, un malware peer-2-peer (P2P) connu auparavant pour prendre le contrôle des routeurs Netgear, D-Link et Huawei, a augmenté de taille pour représenter 90% du trafic observé circulant vers et depuis les appareils IoT (Internet of Things), selon les chercheurs.

IBM X-Force a remarqué le pic de Mozi au sein de sa télémétrie, au milieu d’une énorme augmentation de l’activité globale du botnet IoT. Les instances d’attaque IoT combinées d’octobre à juin sont 400% plus élevées que les instances d’attaque IoT combinées des deux années précédentes.

«Les attaquants exploitent ces dispositifs depuis un certain temps maintenant, notamment via le botnet Mirai», selon IBM. «Mozi continue de réussir en grande partie grâce à l’utilisation d’attaques par injection de commandes (CMDi), qui résultent souvent d’une mauvaise configuration des appareils IoT. La croissance continue de l’utilisation de l’IoT et des protocoles de configuration médiocres sont les responsables probables de ce saut. Cette augmentation peut avoir été alimentée par le fait que les réseaux d’entreprise sont plus souvent accessibles à distance en raison de la COVID-19. »

Mozi est entré en scène pour la première fois à la fin de 2019, ciblant les routeurs et les DVR, et a été analysé à plusieurs reprises par diverses équipes de recherche. Il s’agit essentiellement d’une variante de Mirai, mais il contient également des extraits de Gafgyt et IoT Reaper – il est utilisé pour les attaques DDoS, l’exfiltration de données, les campagnes de spam et l’exécution de commandes ou de charges utiles.

mozi

IBM a observé que Mozi utilisait CMDi pour l’accès initial à un périphérique vulnérable via une commande shell «wget», puis modifiait les autorisations pour permettre à l’individu malveillant d’interagir avec le système affecté. Wget est un utilitaire de ligne de commande pour télécharger des fichiers à partir du Web.

«Les attaques CMDi sont extrêmement populaires contre les appareils IoT pour plusieurs raisons. Premièrement, les systèmes embarqués IoT contiennent généralement une interface Web et une interface de débogage laissées par les développeurs de micrologiciels qui peuvent être exploitées », selon l’analyse de la société. «Deuxièmement, les modules PHP intégrés aux interfaces Web IoT peuvent être exploités pour donner aux acteurs malveillants une capacité d’exécution à distance. Et troisièmement, les interfaces IoT restent souvent vulnérables lorsqu’elles sont déployées car les administrateurs ne parviennent pas à renforcer les interfaces en assainissant les entrées distantes attendues. Cela permet aux individus malveillants de saisir des commandes shell telles que «wget». »

La routine d’attaque DHT de Mozi

Dans le cas de Mozi, la commande wget télécharge et exécute un fichier appelé «mozi.a» sur les systèmes vulnérables, selon IBM. Les chercheurs ont déclaré que le fichier s’exécute sur un microprocesseur. Une fois que l’attaquant obtient un accès complet à l’appareil via le botnet, le niveau du micrologiciel peut être modifié et des logiciels malveillants supplémentaires peuvent être téléchargés, en fonction de l’objectif de toute attaque spécifique.

Mozi met constamment à jour les vulnérabilités qu’il tente d’exploiter via CMDi, misant sur la lenteur de la mise en œuvre des correctifs, a noté IBM. Il s’agit d’une activité qui peut être facilement automatisée, ce qui accélère la croissance de Mozi. Dans la dernière analyse d’IBM, l’échantillon utilisait des exploits pour les routeurs Huawei, Eir, Netgear, GPON Rand D-Link; les appareils utilisant le SDK Realtek; SPBOARDs Sepal; DVR MVPower; et plusieurs fournisseurs CCTV.

En plus, il peut également forcer les informations d’identification Telnet à l’aide d’une liste codée en dur.

Une fois qu’il craque un périphérique, le botnet Mozi tente d’associer le port UDP local 14737, et il trouve et tue les processus qui utilisent les ports 1536 et 5888. Son code contient des nœuds publics de table de hachage distribuée (DHT) codés en dur, qui sont ensuite utilisés pour rejoindre le réseau P2P de botnet. DHT est un système distribué qui fournit un service de recherche permettant aux nœuds P2P de se trouver et de communiquer entre eux.

mozi

«Le botnet Mozi utilise un protocole DHT personnalisé pour développer son réseau P2P», selon IBM.

Pour qu’un nouveau nœud Mozi rejoigne le réseau DHT, le logiciel malveillant génère un identifiant pour le périphérique nouvellement infecté. “L’ID est de 20 octets et se compose du préfixe 888888 intégré dans l’exemple ou du préfixe spécifié par le fichier de configuration [hp], plus une chaîne générée de manière aléatoire.”

Ce nœud enverra ensuite une requête HTTP initiale à http[:]//ia[.]51[.]la pour s’enregistrer, et il envoie également une requête DHT «find_node» à huit nœuds publics DHT codés en dur, qui est utilisé pour rechercher les informations de contact d’un nœud Mozi connu, puis se connecte à celui-ci, rejoignant ainsi le botnet.

L’infrastructure du botnet Mozi semble provenir principalement de Chine, représentant 84% de l’infrastructure observée, a déclaré IBM.

La hausse des machines P2P

Les botnets P2P sont de plus en plus courants. Cette année encore, le botnet FritzFrog est entré en scène, violant activement les serveurs SSH depuis Janvier. FritzFrog se propage comme un ver, forçant des informations d’identification dans des entités telles que les bureaux gouvernementaux, les établissements d’enseignement, les centres médicaux, les banques et les entreprises de télécommunications.

Depuis le début de l’année, un botnet de minage connu sous le nom de DDG a connu une grande vague d’activité, publiant 16 mises à jour différentes depuis Avril. Plus particulièrement, ses opérateurs ont adopté un mécanisme P2P propriétaire qui a transformé DDG en une menace hautement sophistiquée et «apparemment imparable», selon les chercheurs.

Et à la fin de l’année dernière, un botnet P2P nommé Roboto a été trouvé ciblant une vulnérabilité d’exécution de code à distance dans les serveurs Linux Webmin.

L’architecture P2P est populaire auprès des cybercriminels; elle offre une plus grande résilience que les autres types de botnets car le contrôle est décentralisé et réparti entre tous les nœuds. En tant que tel, il n’existe pas de point de défaillance unique ni de serveur de commande et de contrôle (C2).

«Alors que les nouveaux groupes de botnets, tels que Mozi, accélèrent leurs opérations et que l’activité IoT globale augmente, les organisations utilisant des appareils IoT doivent être conscientes de l’évolution de la menace», a conclu la société. «IBM voit de plus en plus les appareils IoT d’entreprise sous le feu des attaques. L’injection de commande reste le principal vecteur d’infection de choix pour les acteurs de la menace, réaffirmant à quel point il est important de modifier les paramètres par défaut de l’appareil et d’utiliser des tests de pénétration efficaces pour trouver et corriger les lacunes dans l’armure. »

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x