Mozi a évolué à partir des codes sources comme Mirai, IoT Reaper et Gafgyt. Le botnet est capable d'attaques DDoS, d'exfiltration de données et d'exécution de commandes ou de charges utiles. Les appareils IoT avec une sécurité faible, principalement des routeurs et des DVR non corrigés, sont recherchés par Mozi pour s'ajouter à ses rangs. Par le passé, ce botnet a compromis des routeurs populaires comme ceux de Netgear, D-Link et Huawei.
Les appareils IoT, des cibles parfaites pour les pirates
Plutôt que de supprimer du marché les variantes de logiciels malveillants concurrentes, Mozi les a intégrées tout en réduisant leur activité. IBM a constaté que les attaques IoT combinées entre octobre 2019 et juin 2020 sont 400% plus élevées que les deux années précédentes. Les appareils IoT offrent la cible idéale pour les pirates. Ils prolifèrent rapidement. L'IDC, estime qu'il y aura 41,6 milliards d'appareils IoT connectés d'ici 2025, et la précipitation pour battre les concurrents laisse de sérieuses vulnérabilités.
Selon IBM, Mozi continue de gagner du terrain grâce à l'utilisation d'attaques par injection de commandes (CMDi) qui résultent souvent d'une mauvaise configuration des appareils IoT. La croissance continue de l'utilisation de l'IoT et des protocoles de configuration médiocres sont probablement les responsables de ce saut. Cette augmentation peut avoir été alimentée par le fait que les réseaux d'entreprise sont plus souvent accessibles à distance en raison du COVID-19.
Mozi : compromettre des périphériques
IBM a observé que Mozi compromettait des périphériques en utilisant une commande shell « wget » pour télécharger un fichier appelé mozi.a. Ce dernier est ensuite exécuté sur un microprocesseur. Les autorisations sont alors modifiées pour accorder à l'attaquant un contrôle total sur le système et des logiciels malveillants supplémentaires peuvent ensuite être téléchargés pour des types d'attaques spécifiques.
Les systèmes embarqués IoT contiennent généralement une interface Web et une interface de débogage laissées par le développement de micrologiciels qui peuvent être exploitées.
Résoudre de graves problèmes de vulnérabilité
Les modules PHP intégrés aux interfaces Web IoT peuvent être exploités pour donner aux acteurs malveillants une capacité d'exécution à distance. Les interfaces IoT restent souvent vulnérables lorsqu'elles sont déployées, car les administrateurs ne parviennent pas à les renforcer en nettoyant les entrées distantes attendues. Cela permet aux acteurs de la menace d'entrer des commandes shell telles que « wget ».
Mozi est apparu pour la première fois à la fin de 2019. L'augmentation rapide du botnet pour représenter 90% de tout le trafic des appareils IoT en moins d'un an montre à quel point de graves vulnérabilités restent à résoudre. Au fur et à mesure que les nouveaux groupes de botnet tels que Mozi accélèrent leurs opérations et que l'activité IoT globale augmente, les organisations utilisant des appareils IoT doivent être conscientes de l'évolution de la menace.
- Partager l'article :