Mozi - это IoT-ботнет, который использует P2P для связи и перерабатывает исходный код других известных семейств вредоносных программ, включая Gafgyt, Mirai и IoT Reaper.
Mozi начиналась как P2P-семейство, осуществляющее DDoS-атаки с целью получения прибыли, а затем добавила компонент майнинга. Топология сети построена на основе протокола DHT.
Mozi впервые появился на сцене в конце 2019 года, атакуя маршрутизаторы и видеорегистраторы, и уже несколько раз анализировался различными исследовательскими группами. По сути, это вариант Mirai, но также содержит фрагменты Gafgyt и IoT Reaper - он используется для DDoS-атак, утечки данных, спам-кампаний и выполнения команд или полезной нагрузки.
После взлома устройства ботнет Mozi пытается привязать локальный UDP-порт 14737, а также находит и убивает процессы, использующие порты 1536 и 5888. Его код содержит жестко закодированные публичные узлы распределенной хэш-таблицы (DHT), которые затем используются для присоединения к P2P-сети ботнета. DHT - это распределенная система, которая предоставляет сервис поиска, позволяющий P2P-узлам находить друг друга и общаться между собой.
Для того чтобы новый узел Mozi присоединился к сети DHT, вредоносная программа генерирует идентификатор для нового зараженного устройства. Идентификатор состоит из 20 байт и состоит из префикса 888888, встроенного в образец, или префикса, указанного в конфигурационном файле [hp], плюс случайно сгенерированная строка».
Ботнет Mozi в основном распространялся на территории Китая, Индии и Албании. Ботнет был нацелен на маршрутизаторы Netgear, Dasan, D-Link и серверы MVPower DVR Jaws. В 2021 году авторы ботнета Mozi были арестованы китайскими правоохранительными органами. Создатели ботнета Mozi или китайские правоохранительные органы, вынудив создателей к сотрудничеству, распространили обновление, которое убило способность агентов ботнета Mozi подключаться к внешнему миру, оставив лишь небольшую часть работающих ботов.