Mozi Botnet

Le développement rapide de la technologie Internet et des appareils connectés à Internet a permis aux cybercriminels de choisir leurs cibles quand il s'agit de construire un botnet - certains opérateurs de botnet s'en tiennent à infecter les ordinateurs classiques, tandis que d'autres recherchent des appareils intelligents ou des routeurs domestiques. Dans le cas du Mozi Botnet, les attaquants ont choisi d'essayer d'infecter les routeurs vulnérables et de les intégrer à leur botnet. Le groupe derrière le Mozi Botnet semble cibler une longue liste de fabricants de routeurs qui incluent des noms notables comme Huawei, D-Link et Netgear.

Les experts en logiciels malveillants soupçonnent que le Mozi Botnet est actif depuis septembre, et pendant ce temps, il a analysé le Web à la recherche de routeurs utilisant des informations d'identification de connexion faibles ou un micrologiciel obsolète vulnérable aux exploits.

Le Mozi Botnet utilise le protocole DHT utilisé par le logiciel Peer-to-Peer

L'une des particularités intéressantes du Mozi Botnet est qu'il utilise le protocole DHT (Distributed Hash Table) pour rechercher des périphériques et fournir la charge utile. Ce protocole est principalement utilisé par les applications peer-to-peer, et il est utilisé pour transférer d'énormes quantités de trafic, il est donc peu probable que le trafic DHT artificiel trouvé dans les journaux du routeur infecté déclenche des alertes rouges.

En termes de fonctionnalités, le Mozi Botnet prend en charge plusieurs commandes qui permettent à l'opérateur d'exécuter les tâches suivantes sur le périphérique infecté:

• Lancez une attaque par déni de service distribué en utilisant tous les appareils infectés actifs.
• Collectez des informations sur les appareils infectés.
• Téléchargez et exécutez une charge utile à partir d'une URL.
• Téléchargez une charge utile et exécutez-la.
• Lancez des commandes à distance.

Le Mozi Botnet n'est pas un projet spectaculaire, mais l'opération menaçante s'est développée rapidement et il semble que le nombre d'appareils infectés continue d'augmenter chaque mois. Pour vous assurer que votre routeur domestique ou professionnel est protégé, vous devez vous assurer d'utiliser un mot de passe bien construit, ainsi que d'appliquer les dernières mises à jour du micrologiciel qui élimineront les exploits publics.