P2P-ботнет Mozi, обычно нацеленный на различные IoT-устройства, получил новые возможности, которые обеспечивают ему устойчивое присутствие в сетевых шлюзах производства Netgear, Huawei и ZTE. Теперь малварь способна вмешиваться в трафик зараженных систем с помощью спуфинга DNS и захвата HTTP-сессий.
Новую вариацию Mozi обнаружили эксперты компании Microsoft. Они отмечают, что сетевые шлюзы — лакомый кусок для злоумышленников, так как подобные устройства идеальны в качестве начальных точек доступа к корпоративным сетям. Теперь Mozi использует «умные методы сохранения устойчивого присутствия, которые специально адаптированы к конкретной архитектуре каждого шлюза». Это позволяет операторам Mozi избегать удаления малвари во время перезагрузки и продлевает время нахождения на зараженных устройствах.
«Заражая маршрутизаторы, [Mozi] может выполнять атаки типа MitM, перехвата HTTP и спуфинга DNS, что ведет к компрометации эндпоинтов, развертыванию программ-вымогателей или возникновению нарушений безопасности на объектах критической инфраструктуры», — предупреждает компания.
Перечисленное позволяет операторам Mozi планировать и организовывать атаки более высокой сложности, чем обычный DDoS. В частности, Microsoft сообщает, что Mozi развертывает на зараженных сетевых шлюзах модули, которые перехватывают DNS- и HTTP-запросы. В итоге Mozi может диктовать зараженным шлюзам, как отвечать на DNS-запросы для определенных доменов и перенаправлять пользователей на сервер, контролируемый самими злоумышленниками. Также малварь может перехватывать HTTP-сессии и внедрять вредоносный контент в трафик жертв.
Такое поведение может использоваться, например, для незаметного выполнения перенаправления HTTP 301, которое «уведет» пользователя с настоящего сайта на вредоносную альтернативу, а также для внедрения вредоносного JavaScript на легитимные сайты, что можно использовать для кражи паролей и перехвата нажатий клавиш.
Microsoft сообщает, что для получения доступа к уязвимым устройствам операторы Mozi брутфорсят слабые пароли Telnet, а также эксплуатируют около 10 известных уязвимостей. Но, к сожалению, исследователи не предоставили никаких подробностей о том, какие именно уязвимости использует ботнет, и какие модели Netgear, Huawei и ZTE он атакует.
