Основы Интернет - технологий.

P2P-ботнет Mozi, обычно нацеленный на различные IoT-устройства, получил новые возможности, которые обеспечивают ему устойчивое присутствие в сетевых шлюзах производства Netgear, Huawei и ZTE. Теперь малварь способна вмешиваться в трафик зараженных систем с помощью спуфинга DNS и захвата HTTP-сессий.

Новую вариацию Mozi обнаружили эксперты компании Microsoft. Они отмечают, что сетевые шлюзы — лакомый кусок для злоумышленников, так как подобные устройства идеальны в качестве начальных точек доступа к корпоративным сетям. Теперь Mozi использует «умные методы сохранения устойчивого присутствия, которые специально адаптированы к конкретной архитектуре каждого шлюза». Это позволяет операторам Mozi избегать удаления малвари во время перезагрузки и продлевает время нахождения на зараженных устройствах.

Перечисленное позволяет операторам Mozi планировать и организовывать атаки более высокой сложности, чем обычный DDoS. В частности, Microsoft сообщает, что Mozi развертывает на зараженных сетевых шлюзах модули, которые перехватывают DNS- и HTTP-запросы. В итоге Mozi может диктовать зараженным шлюзам, как отвечать на DNS-запросы для определенных доменов и перенаправлять пользователей на сервер, контролируемый самими злоумышленниками. Также малварь может перехватывать HTTP-сессии и внедрять вредоносный контент в трафик жертв.

Такое поведение может использоваться, например, для незаметного выполнения перенаправления HTTP 301, которое «уведет» пользователя с настоящего сайта на вредоносную альтернативу, а также для внедрения вредоносного jаvascript на легитимные сайты, что можно использовать для кражи паролей и перехвата нажатий клавиш.

Microsoft сообщает, что для получения доступа к уязвимым устройствам операторы Mozi брутфорсят слабые пароли Telnet, а также эксплуатируют около 10 известных уязвимостей. Но, к сожалению, исследователи не предоставили никаких подробностей о том, какие именно уязвимости использует ботнет, и какие модели Netgear, Huawei и ZTE он атакует.