Een botnet dat Internet of Things (IoT)-apparaten besmet probeert routers van fabrikanten Netgear, Huawei en ZTE permanent te infecteren om zo man-in-the-middle-aanvallen uit te kunnen voeren, aldus Microsoft. Het gaat om het Mozi-botnet dat al geruime tijd actief is. Mozi infecteert IoT-apparaten, zoals digitale videorecorders, via zwakke Telnet-wachtwoorden en bekende kwetsbaarheden. Besmette machines worden onder andere voor ddos-aanvallen op websites ingezet.
Microsoft stelt dat het Mozi-botnet sinds kort routers van Netgear, Huawei en ZTE permanent probeert te infecteren. Vervolgens is het via de gecompromitteerde routers mogelijk voor de aanvallers om man-in-the-middle-aanvallen uit te voeren, bijvoorbeeld via het aanpassen van http-verkeer en dns-spoofing. Hierbij worden gebruikers naar malafide websites doorgestuurd die ransomware proberen te installeren en kunnen de aanvallers veiligheidsincidenten in OT-omgeving veroorzaken, zo stelt Microsoft.
Ook voor het aanvallen van de routers maakt het Mozi-botnet gebruik van zwakke wachtwoorden en bekende kwetsbaarheden. In het geval van een succesvolle aanval installeert Mozi een script zodat de malware altijd wordt geladen. Verder blokkeert Mozi verschillende poorten op de router voor remote toegang, waaronder poort 23, 2323 en 7547. Dit moet voorkomen dat de malware wordt verwijderd. Om infecties door Mozi te voorkomen adviseert Microsoft het gebruik van sterke wachtwoorden en het tijdig installeren van beveiligingsupdates.
Deze posting is gelocked. Reageren is niet meer mogelijk.