Mozi, una red de bots peer-to-peer (P2P) conocida por dirigirse a los dispositivos IoT, ha adquirido nuevas capacidades que le permiten lograr la persistencia en las puertas de enlace de red fabricadas por Netgear, Huawei y ZTE, según nuevos hallazgos.
«Las puertas de enlace de red son un objetivo particularmente jugoso para los adversarios porque son ideales como puntos de acceso inicial a las redes corporativas», dijeron los investigadores del Centro de Inteligencia de Amenazas de Seguridad de Microsoft y la Sección 52 de Azure Defender para IoT en un escrito técnico. «Al infectar los routers, pueden realizar ataques de hombre en el medio (MITM) -mediante el secuestro de HTTP y la suplantación de DNS- para comprometer los puntos finales y desplegar ransomware o causar incidentes de seguridad en las instalaciones de OT.»
Documentado por primera vez por Netlab 360 en diciembre de 2019, Mozi tiene un historial de infectar routers y grabadores de vídeo digitales con el fin de ensamblarlos en una red de bots IoT, que podría ser abusada para lanzar ataques de denegación de servicio distribuidos (DDoS), exfiltración de datos y ejecución de cargas útiles. La red de bots ha evolucionado a partir del código fuente de varias familias de malware conocidas, como Gafgyt, Mirai e IoT Reaper.
Mozi se propaga mediante el uso de contraseñas de acceso remoto débiles y predeterminadas, así como a través de vulnerabilidades no parcheadas, y el malware IoT se comunica utilizando una tabla de hash distribuida (DHT) similar a la de BitTorrent para registrar la información de contacto de otros nodos de la red de bots, el mismo mecanismo utilizado por los clientes P2P de intercambio de archivos. Los dispositivos comprometidos escuchan los comandos de los nodos controladores y también intentan infectar otros objetivos vulnerables.

Un análisis de IBM X-Force publicado en septiembre de 2020 señaló que Mozi representó casi el 90% del tráfico de red IoT observado desde octubre de 2019 hasta junio de 2020, lo que indica que los actores de amenazas están aprovechando cada vez más la superficie de ataque en expansión que ofrecen los dispositivos IoT. En una investigación separada publicada el mes pasado, Elastic Security Intelligence and Analytics Team descubrió que al menos 24 países han sido atacados hasta la fecha, con Bulgaria e India a la cabeza.
Ahora, una nueva investigación del equipo de seguridad del IoT de Microsoft ha descubierto que el malware «realiza acciones específicas para aumentar sus posibilidades de supervivencia tras el reinicio o cualquier otro intento de interferir en su funcionamiento por parte de otros malware o respondedores», incluyendo la persistencia en los dispositivos objetivo y el bloqueo de los puertos TCP (23, 2323, 7547, 35000, 50023 y 58000) que se utilizan para obtener acceso remoto a la puerta de enlace.
Además, Mozi se ha actualizado para admitir nuevos comandos que permiten al malware secuestrar sesiones HTTP y llevar a cabo la suplantación de DNS para redirigir el tráfico a un dominio controlado por el atacante.
Se recomienda a las empresas y a los usuarios que utilicen routers Netgear, Huawei y ZTE que protejan los dispositivos con contraseñas seguras y que los actualicen al último firmware. «Esto reducirá las superficies de ataque aprovechadas por la red de bots y evitará que los atacantes lleguen a una posición en la que puedan utilizar la persistencia recién descubierta y otras técnicas de explotación», dijo Microsoft.