Mozi ahora también apunta a Netgear, Huawei y ZTE

Me encantaría que hablar de Mozi significara recordar y analizar la obra de Mo-Tzu, rival en pensamiento de Confucio y un referente, perdido durante muchos siglos, de la filosofía oriental. Pero no, no estamos en MuyFilosofía y, además, mis conocimientos en ese área son excepcionalmente limitados. Así que al referirme a Mozi, claro, estoy hablando de una de las redes de botnets más importantes de la actualidad, y de algunos cambios preocupantes en su funcionamiento.

Como ya te contamos hace cerca de un año, Mozi es una red bastante joven, nacida a finales de 2019, y que desde el primer momento se ha especializado en atacar a dispositivos IoT. Y desde el punto de vista de sus operadores me parece un planteamiento de lo más inteligente, principalmente por dos razones: la proliferación de este tipo de dispositivos, cada vez más presentes en todos los entornos, y las enormes carencias de seguridad con las que han sido producidos muchos de ellos.

Un ejemplo muy común lo encontramos con las cámaras IP. Un simple dork de Google nos devolverá, de inmediato, múltiples y suculentos resultados en forma de imágenes capturadas por cámaras que, por defecto, emplean siempre la misma contraseña… y eso cuando no nos encontramos con accesos abiertos, sin clave alguna. La desidia por parte de algunos fabricantes de dispositivos es una puerta abierta para Mozi, que no dudará en sumarlos a su legión de bots.

No obstante, la evolución es una constante en este tipo de redes, o al menos en aquellas que intentan garantizar su persistencia. Y es que, claro, cuando una red como Mozi es detectada, evidentemente empiezan a desplegarse las primeras medidas para intentar mitigarla, ya sea desinfectando y asegurando los dispositivos atacados, o cargando directamente contra su infraestructura, generalmente los servidores de comando y control, tanto para inutilizarlos como para intentar seguir la pista hasta sus responsables.

El último paso de Mozi a este respecto ha sido detectado por Microsoft, y consiste en atacar gateways de Netgear, Huawei y ZTE, un cambio de estrategia que resulta, sin duda, preocupante, puesto que un único gateway comprometido puede dar acceso a un gran conjunto de dispositivos de todo tipo.

«Las puertas de enlace de red son un objetivo particularmente jugoso para los adversarios porque son ideales como puntos de acceso inicial a las redes corporativas«, afirman los investigadores del Centro de Inteligencia de Amenazas de Seguridad de Microsoft y la Sección 52 de Azure Defender para IoT en un informe técnico. «Al infectar los enrutadores, pueden realizar ataques man-in-the-middle (MITM), mediante el secuestro de HTTP y la suplantación de DNS, para comprometer los terminales y desplegar ransomware o provocar incidentes de seguridad en las instalaciones de OT«.

Así, con todo el tráfico de red gestionado por ese gateway al alcance de la mano de Mozi, son virtualmente ilimitadas las posibilidades que se abren a este grupo. Y no solo por el alcance a esos nuevos equipos, es que además, Mozi se ha actualizado para admitir nuevos comandos que permiten al malware secuestrar sesiones HTTP y realizar suplantación de DNS para redirigir el tráfico a un dominio controlado por el atacante.

El punto débil de Mozi o, para ser más exactos, el punto débil que explota Mozi son las contraseñas de acceso remoto débiles y predeterminadas, así como las de vulnerabilidades no parcheadas. Es decir, que una política de seguridad que fuerce el uso de contraseñas seguras y que mantenga al día el firmware de los dispositivos, especialmente cuando se detecten vulnerabilidades y sean parcheadas, debería permanecer bastante a salvo de la amenaza de Mozi… y de otras tantas de las que hablamos habitualmente aquí.